Trong khi Ethereum vừa có một trong những đợt nâng cấp lớn nhất trong năm, cộng đồng cryptocurrency vẫn chưa hết hoang mang bởi những tin tức tiêu cực gần đây. Một kẻ tấn công không xác định đã gây thiệt hại 25 triệu USD tại các bot MEV.

Điều này đã khơi nguồn một số cuộc tranh luận liên quan đến tương lai của MEV, đặc biệt là trong hệ sinh thái Ethereum

Maximal Extractable Value (MEV) là gì?

MEV từng là viết tắt của  “Miner Extractable Value”, nhưng gần đây thuật ngữ  “Maximal Extractable Value”  đã được sử dụng nhiều hơn. MEV đề cập đến số tiền lãi có thể có được bởi các miner hoặc validator trên blockchain network bằng cách sắp xếp lại, kiểm duyệt hoặc chèn các giao dịch vào một khối trước khi khai thác.

Nói một cách đơn giản, MEV là số tiền mà miner hoặc validator có thể kiếm được bằng cách tận dụng thứ tự xử lý giao dịch trên blockchain network. Bằng cách này, họ có khả năng kiếm được nhiều tiền hơn so với việc chỉ đơn giản mining và thu phí giao dịch.

Ví dụ: nếu một miner hoặc validator có thể phát hiện một giao dịch đang chờ xử lý sẽ gây ra sự thay đổi đáng kể về giá của một loại tiền điện tử, thì họ có thể ưu tiên giao dịch đó trong block mà họ sắp mining để kiếm lợi từ biến động giá. Hoặc, nếu họ có thể kiểm duyệt một giao dịch cạnh tranh với giao dịch của chính họ, họ có thể đảm bảo rằng giao dịch của chính họ được đưa vào block và thu thêm phí.

MEV đã trở thành một khái niệm ngày càng quan trọng trong ngành công nghiệp tiền điện tử vì nó có thể có tác động đáng kể đến lợi nhuận của các hoạt động mining và validation. Nó cũng làm dấy lên mối lo ngại về tính công bằng và bảo mật trên các mạng blockchain, vì các chiến lược khai thác MEV có thể được sử dụng để thao túng thị trường hoặc làm tổn hại đến tính toàn vẹn của mạng.

Ethereum là một trong những dự án tiền điện tử mà MEV ngày càng trở nên chiếm ưu thế và quan trọng hơn. Đó là một trong những lý do tại sao sự cố gần đây đã gây sốc cho cộng đồng Ethereum và dẫn đến vô số cuộc tranh luận về các chủ đề khác nhau liên quan đến MEV. Vậy. chuyện gì đã xảy ra?

Điều gì đã xảy ra trong cuộc tấn công MEV?

Vào 03/04/2023, hệ sinh thái Ethereum đã bị rung chuyển bởi một cuộc tấn công tinh vi nhắm vào các bot MEV. Theo báo cáo, cuộc tấn công đã gây thiệt hại hơn 25 triệu USD cho các bot bị ảnh hưởng. Cuộc tấn công này đã làm dấy lên mối lo ngại về hệ sinh thái MEV và những rủi ro tiềm ẩn liên quan đến nó.

Cuộc tấn công nhắm vào một bot MEV cụ thể được cho là đang khai thác lỗ hổng trong mạng Ethereum để trích xuất giá trị tối đa. Bot, được vận hành bởi một người dùng ẩn danh, đã kiếm được lợi nhuận đáng kể nhờ các giao dịch chạy trước đang trong quá trình xác nhận trên mạng. Tuy nhiên, lợi nhuận của bot này đã thu hút sự chú ý của một validator.

Cuộc tấn công MEV nhìn từ góc độ chuyên sâu

Một số người cho rằng các bot MEV đang cố gắng thực hiện giao dịch trên một sàn giao dịch phi tập trung bằng cách sử dụng kỹ thuật “sandwich”, trong đó chúng sẽ chèn các giao dịch của chính mình trước và sau một giao dịch lớn để kiếm lợi từ biến động giá. Tuy nhiên, trình xác thực giả mạo đã có thể phát hiện hoạt động của các bot và chèn giao dịch của chính chúng trước các bot, “front-running)  (chạy trước) chúng một cách hiệu quả và khiến giao dịch của chúng không thành công.

Simplified illustration of the MEV attack, Source: BlockSec

Như các nhà phân tích nghiên cứu của Blockworks đã đề xuất, kẻ tấn công đã trở thành validator – người xác thực Ethereum khoảng 18 ngày trước cuộc tấn công bằng cách trả tối thiểu 32 ETH để trở thành validator. Sau đó, có vẻ như trình xác nhận giả mạo đã chờ đợi cơ hội để đề xuất một block và thực hiện cuộc tấn công của nó. Sau khi có cơ hội, validator đã thêm các giao dịch bổ sung vào block được đề xuất. Điều này cho phép validator chạy trước các bot MEV và tận dụng các lỗ hổng của chúng.

Preparation of the validator for the attack, Source: Twitter.com

CertiK Trong một phân tích về vụ việc, công ty bảo mật CertiK đã xác định kẻ tấn công là một nhóm có tên là “OxBad” và lưu ý rằng họ đã sử dụng một số kỹ thuật tiên tiến để thực hiện cuộc tấn công bên cạnh “front-running”, bao gồm “validator collusion” và “block withholding”. Họ cũng lưu ý rằng cuộc tấn công không phải là lần đầu tiên thuộc loại này và các sự cố tương tự đã được báo cáo trên các mạng blockchain khác.

Các khoản vay nhanh như một chìa khóa cho cuộc tấn công

Hơn nữa, validator, vẫn chưa xác định được danh tính, cũng đã thực hiện một cuộc tấn công tinh vi liên quan đến việc sử dụng khoản vay nhanh để thao túng các giao dịch được xác nhận bởi bot. Các khoản vay nhanh là một loại khoản vay cho phép người dùng vay tiền từ một giao thức cho vay mà không cần bất kỳ tài sản thế chấp hoặc kiểm tra tín dụng nào, miễn là khoản vay được hoàn trả trong một giao dịch.

Nói một cách đơn giản hơn, các khoản vay nhanh là một cách để người dùng vay tiền nhanh chóng và dễ dàng mà không cần phải đưa bất kỳ tài sản nào làm tài sản thế chấp hoặc trải qua quá trình kiểm tra tín dụng. Chúng có thể hữu ích cho những người dùng cần tiếp cận với số vốn lớn một cách nhanh chóng, chẳng hạn như các nhà giao dịch đang tìm cách tận dụng các cơ hội kinh doanh chênh lệch giá hoặc các nhà phát triển đang tìm cách tài trợ cho các dự án mới.

Các khoản vay chớp nhoáng đã trở nên phổ biến trong ngành công nghiệp tiền điện tử do tốc độ và tính linh hoạt của chúng, nhưng chúng cũng gây lo ngại về tính bảo mật và tính ổn định. Bởi vì chúng không yêu cầu tài sản thế chấp hoặc kiểm tra tín dụng, nên chúng có thể được sử dụng cho các mục đích gian lận hoặc độc hại, chẳng hạn như thao túng giá của tiền điện tử hoặc tấn công một giao thức tài chính phi tập trung. Trong trường hợp này, họ đã cho phép kẻ tấn công khai thác các bot MEV

Thất thoát 25 triệu USD

Thao tác này đã khiến bot mất hết tiền, dẫn đến khoản lỗ hơn 20 triệu đô la. Kẻ tấn công được cho là đã lấy 5 triệu đô la còn lại từ các bot khác cũng tham gia khai thác MEV.

Phần lớn số tiền đã bị đánh cắp thông qua Wrapped ETH (WETH) với giá trị hơn 13,5 triệu USD bị đánh cắp, tiếp theo là 5,2 triệu USD bằng USDC và 3 triệu USD bằng Tether. Số tiền còn lại đã bị đánh cắp thông qua Wrapped BTC (WBTC) với số tiền khoảng 1,8 triệu đô la và 1,7 triệu đô la bằng Dai (DAI). Theo phân tích trên chuỗi, số tiền này đã được chuyển đến ba ví khác nhau để hợp nhất.

Cuộc tấn công đã đặt ra câu hỏi về tính bảo mật của mạng Ethereum, đặc biệt là trong bối cảnh hệ sinh thái MEV. Mặc dù khái niệm này đã xuất hiện được một thời gian nhưng gần đây nó đã trở nên nổi bật nhờ sự gia tăng của các ứng dụng DeFi (Tài chính phi tập trung) trên mạng Ethereum.

Hệ lụy của nó

MEV đã trở thành một nguồn doanh thu quan trọng cho nhiều cá nhân và tổ chức hoạt động trên mạng Ethereum. Tuy nhiên, như cuộc tấn công này đã chứng minh, MEV không phải là không có rủi ro. Cuộc tấn công đã nhấn mạnh sự cần thiết phải cải thiện các biện pháp bảo mật để bảo vệ hệ sinh thái khỏi các sự cố tương tự trong tương lai, nhưng cũng dẫn đến các cuộc tranh luận về đạo đức của MEV, tính minh bạch và kết nối của nó với thị trường tiền điện tử rộng lớn hơn cũng như khả năng điều tiết.

Một vấn đề khác phát sinh từ cuộc tấn công này có liên quan đến việc tập trung hóa các trình xác thực và toàn bộ hệ sinh thái Ethereum. Theo nhóm CertiK, các lỗ hổng của trình xác nhận có thể giảm nếu toàn bộ mạng trở nên phi tập trung hơn.

Cuộc tấn công đã dẫn đến một cuộc tranh luận về đạo đức của việc trích xuất MEV. Trong khi một số người cho rằng đó là một cách hợp pháp để kiếm lợi nhuận trên mạng, thì những người khác lại cho rằng đó là một hình thức trục lợi cuối cùng gây tổn hại đến tính toàn vẹn của mạng. Nó đã đổ thêm dầu vào cuộc tranh luận này và có thể dẫn đến thảo luận thêm về vai trò của MEV trong hệ sinh thái Ethereum.

Cuộc tấn công không chỉ ảnh hưởng đến các bot được nhắm mục tiêu mà còn ảnh hưởng đến hệ sinh thái Ethereum rộng lớn hơn. Vụ việc đã làm giảm đáng kể giá trị của Ether (ETH), tiền điện tử gốc của mạng Ethereum. Sự sụt giảm này đã làm dấy lên mối lo ngại về tác động của MEV đối với thị trường tiền điện tử rộng lớn hơn, đặc biệt là do sự phổ biến ngày càng tăng của các ứng dụng DeFi.

Sự cố này cũng đã nhấn mạnh sự cần thiết phải minh bạch hơn trong hệ sinh thái MEV. Hiện tại, việc khai thác MEV phần lớn được kiểm soát bởi một nhóm nhỏ các cá nhân và tổ chức có khả năng khai thác các lỗ hổng trong mạng để trích xuất giá trị tối đa. Sự thiếu minh bạch này đã gây khó khăn cho các cơ quan quản lý và các bên liên quan khác trong việc hiểu đầy đủ các rủi ro liên quan đến khai thác MEV.

Để đối phó với cuộc tấn công, một số thành viên của cộng đồng Ethereum đã kêu gọi quy định chặt chẽ hơn đối với hệ sinh thái MEV. Họ lập luận rằng điều này sẽ giúp bảo vệ mạng khỏi các sự cố tương tự trong tương lai và đảm bảo rằng việc khai thác MEV được thực hiện một cách công bằng và minh bạch.

Kết

Nhìn chung, cuộc tấn công gần đây vào các bot MEV đã đặt ra những câu hỏi quan trọng về tính bảo mật, đạo đức, cũng như tính minh bạch của mạng Ethereum. Mặc dù khai thác MEV đã trở thành một nguồn doanh thu quan trọng đối với nhiều cá nhân và tổ chức hoạt động trên mạng, sự cố này đã chứng minh rằng nó không phải là không có rủi ro.

Khi hệ sinh thái Ethereum tiếp tục phát triển, điều quan trọng là các bên liên quan phải hợp tác cùng nhau để phát triển các biện pháp bảo mật và khung pháp lý mới có thể giúp đảm bảo tính ổn định và bền vững lâu dài của mạng

Tham gia cộng đồng BingX của chúng tôi để có cơ hội học hỏi thêm về các lĩnh vực crypto, Web3 và NFTs!

Facebook:  https://www.facebook.com/BingXVietnam/

Twitter:  https://twitter.com/BingXVietnam

Telegram:  https://t.me/BingXVietnam

Khuyến cáo: Đọc giả nên thực hiện nghiên cứu riêng của mình trước khi thực hiện bất kỳ hành động nào. BingX không chịu trách nhiệm trực tiếp hoặc gián tiếp về bất kỳ thiệt hại hay mất mát nào được gây ra hoặc được truyền thông là do sử dụng, tin tưởng vào bất kỳ nội dung, hàng hóa hay dịch vụ nào được đề cập trong bài viết.