摘要 2021年6月，DeFi安全审计公司Beosin发布了一份关于MEV机器人攻击事件的报告。这是一起涉及2500万美元的复杂攻击事件，涉及多个DeFi平台和智能合约。在这篇文章中，我们将深入分析Beosin发现的攻击方法和互联网黑客的攻击模式。

MEV机器人攻击的背景

攻击发生在2021年5月下旬和6月上旬，当时运行在以太坊网络上的MEV（闪电贷等）机器人处理了多个DeFi交易。然而，在处理这些交易时，机器人遇到了问题，因为某些交易出现了问题，导致它们无法被确认。 在这个过程中，黑客利用了机器人的漏洞，入侵了智能合约，并将机器人锁定在一个宏观锁上。通过这种方式，黑客可以自由地修改交易的执行顺序，这进一步提高了他们实现攻击的概率。

攻击的详细过程

攻击是通过命令注入攻击实现的。命令注入攻击是指通过修改程序中的指令来执行攻击。这种攻击方法需要攻击者了解被攻击系统的代码，以及对可编辑代码的足够了解以实现攻击。 攻击程序通过输入恶意命令来修改智能合约中的指令，然后执行指令。在这个过程中，攻击者使用了几个工具来实现攻击。 首先，黑客使用JavaScript进行攻击。JavaScript是一种广泛使用的编程语言，常用于Web应用程序开发。使用JavaScript的主要原因是它易于学习和使用，还可以轻松地在Web浏览器中使用。 其次，黑客使用了Metamask这个钱包来执行攻击，Metamask可以让用户在以太坊网络上快速和安全地发送和接收数字货币。 最后，黑客使用了Solidity这个语言来编写智能合约。Solidity是一种设计用于以太坊区块链的智能合约语言。

对攻击的反演和控制

Beosin的报告指出，攻击者最终成功窃取了价值2500万美元的加密货币。但是，在发布报告时，Beosin还没有做出相应的反演措施。然而，团队表示它正在努力恢复被攻击的DeFi平台。 Beosin在发布报告时提供了一些反演措施。它建议DeFi平台加强智能合约的安全性，并考虑使用更高级的智能合约语言。此外，Beosin还提供了一份包含有关如何防止命令注入攻击的指南。 Beosin的报告还要求DeFi平台加强监管，特别是在处理高价值交易时。此外，DeFi平台还应该审查其整个交易过程，特别是涉及机器人交易的交易。最重要的是，DeFi平台需要加强合规性和安全性，以避免以后的类似攻击。

结论

MEV机器人的攻击事件表明，DeFi平台仍然存在严重的安全漏洞。攻击者利用了智能合约中的漏洞，入侵了机器人，并通过命令注入攻击实现了攻击。 为了避免类似的攻击，DeFi平台需要加强安全性和合规性。这首先涉及加强智能合约的安全性，并使用更高级别的智能合约语言。此外，DeFi平台还应该审查整个交易过程，特别是涉及机器人交易的交易，并加强监管。这将有助于确保DeFi平台不再受到类似的攻击。

Beosin：MEV机器人损失2500万美元攻击事件简析

2021年9月6日，DeFi安全审计公司Beosin发布了一份关于一起2500万美元的攻击事件的报告，该事件中的MEV机器人取得了非法利益。这一事件引起了业界的广泛关注，也提醒人们对于DeFi安全问题重视起来。

事件概述

根据Beosin报告，此次攻击事件的目标是流动性挖矿协议Reef Finance。攻击者采用了一种名为“时间锁”的攻击方式，将攻击代码锁定在一个时间段内才能执行，以避免被安全检测软件发现。

攻击者利用该协议中的一个漏洞进行攻击，通过增大交易费用来防止其他交易员打破他们的挖矿机器人。据Beosin分析，这一攻击事件所涉及的交易额达到了2500万美元，但仅仅获得了5.67万美元的利润。

攻击方式分析

攻击者采用的“时间锁”攻击方式是一种新型攻击方式，其主要特点是攻击者可以将攻击代码锁定在一个时间段内才能执行，以避免被安全检测软件发现。通过这种方式，攻击者可以规避一些以前用来保护交易所的防御措施，从而实施攻击。

此次攻击事件中，攻击者利用了流动性挖矿协议Reef Finance中的一个漏洞，通过增加交易费用来防止其他交易者打破他们的挖矿机器人，从而获得非法利润。此外，攻击者还使用了EIP-1559提议中的“最低有效燃料价格”来确保交易被打包进区块中，以进一步提高收益率。

事件启示

此次攻击事件引起了用户和监管机构的很大关注，揭示了DeFi领域的安全问题仍在不断出现。市场上不断涌现的创新金融服务，其开放的特性也创造了恶意行为者挖掘漏洞的机会。

DeFi项目管理者和开发人员需要识别和避免潜在的漏洞，加强安全措施，包括对合约代码进行充分的审计，对合约进行安全测试等。一些形式的安全审计和测试可以帮助团队发现网络协议的漏洞，但它们不能代替开发人员和交易人员的经验和技能。

后续应对

在这起攻击事件发生后，Reef Finance团队迅速采取了行动，暂停了其钱包的操作，解决了漏洞，并向用户保证他们在此次事件中没有遭受任何财务损失。同时，Beosin还在报告中提供了一些建议，包括加强代码审计、进行漏洞模拟和加强事件响应计划等措施。

在DeFi领域，安全问题和攻击事件的风险很高。项目运营方不但应关注漏洞的发现和修复，而且需要对安全问题实施全面预防和高效应对。只有这样，DeFi项目才能更好地发展，为更多人带来价值。

标签： 币