Verichains 주간 보안 다이제스트 | 2023년 4월 4주차

최근 우리는 MEV 봇과 그들이 어떻게 수백만 달러의 가격 차익거래를 할 수 있었는지에 대해 많이 들었습니다. 이번 주 다이제스트에서는 MEV 봇의 기본 사항, MEV 봇이 무엇인지, 누가 사용하는지, 어떻게 수익을 창출하는지에 대해 다뤄보겠습니다.

MEV 봇이란 무엇입니까?

TradFi와 DeFi의 트레이더들은 자동 차익 거래, 즉 거래소 간의 가격 불일치를 찾아 낮은 가격에 구매하고 높은 가격에 판매하여 차이에서 이익을 얻는 알고리즘에 매우 익숙합니다. 특히, 가격 변동성이 크고 연중무휴 거래가 이루어지는 DeFi 시장에서는 이러한 봇이 더 큰 규모로 배포되어 수익을 창출할 수 있는 방법이 더 많아집니다.

이를 MEV(Maximal Extractable Value) 봇이라고 하며, 운영 중인 퍼블릭 블록체인 내에서 이익을 극대화하도록 설계되었습니다.

퍼블릭 블록체인에서 MEV 봇을 배포하고 그로부터 이익을 얻는 주요 인구통계는 2가지입니다.

• 검증인: 기본적으로 검증인은 거래를 확인하고 블록체인에서 새로운 블록을 생성하는 일을 담당합니다. 따라서 그들은 더 높은 수수료나 MEV 보상을 생성하는 거래의 우선순위를 정하거나 자신 또는 제휴 봇이 가치를 포착할 수 있는 기회를 창출할 수 있는 능력을 갖습니다. 또한 특정 거래의 검증이 지연되어 봇에 추가적인 MEV 기회가 창출될 수 있습니다.

• 검색자: 복잡한 알고리즘을 사용하여 수익성 있는 MEV 기회를 찾고 이러한 트랜잭션을 네트워크에 자동으로 전송하는 봇을 보유한 네트워크상의 개인입니다. 검증인은 아니지만 거래가 블록에 포함될 가능성을 높이기 위해 검증인에게 높은 가스 수수료를 지불합니다.

그들은 함께 MEV 봇을 배포하여 다음과 같은 다양한 이익 극대화 기술을 실행했습니다.

• 선행 실행: MEV 봇은 수익성 있는 보류 중인 거래를 감지하고 다른 거래보다 먼저 유사한 거래를 실행하여 대기열에 있는 다른 거래보다 먼저 가격 변동이나 기타 기회로부터 이익을 얻을 수 있도록 합니다.

• 샌드위치 공격: MEV 봇은 보류 중인 거래 전후에 주문을 하여 결과적인 가격 변동으로 이익을 얻습니다. 예를 들어, 대규모 매수 주문으로 인해 가격이 상승하는 경우 봇은 거래자의 거래 전에 매수 주문을 하고 그 후에 매도 주문을 함으로써 낮은 가격에 구매하고 높은 가격에 판매할 수 있습니다.

• 청산: MEV 봇은 대출금을 상환하기 위해 자산이 판매되는 상황을 모니터링하여 청산 기회를 활용합니다. 예를 들어, 거래자의 자산이 특정 임계값 미만으로 떨어지고 대출이 청산된 경우 봇은 이러한 자산을 할인된 가격에 구매할 수 있습니다.

이러한 봇을 통해 이익을 얻을 수 있습니다. 2023년 4월에만 MEV 봇은 이더리움 블록체인에서 약 740만 달러의 수익을 창출했으며, EigenPhi 에 따르면 샌드위치 공격이 가장 두드러진 기술입니다.

왜 교류에 관심을 가져야 합니까?

이러한 봇의 단기 이익은 종종 교환에 대한 장기적인 비즈니스 위험으로 해석됩니다. 수익을 창출하기 위해 배포하는 방법은 종종 봇의 효율성과 기능과 경쟁할 수 없는 소매 투자자의 비용을 초래하여 추가 참여를 방해하기 때문입니다.

소매 투자자가 쫓겨나면 거래량이 줄어들고 봇은 다른 기회로 이동하여 거래소에 사용자가 거의 또는 전혀 없게 되어 거래소가 MEV 봇에 대한 가드레일을 설정하려는 인센티브를 높입니다.

소매 투자자의 경우 MEV 봇에 대한 지식이 있으면 위험 조정 거래 전략과 거래할 거래소 선택에 더 나은 정보를 제공할 수 있습니다.

지난주 사건

🚨 프로젝트: BeatGen
⛓️ 체인: BSC
품목: 비즈니스 로직 결함
💸 손실 금액: $14,000

지난 주에는 비트젠(BeatGen)이라는 블록체인 기반 음악 플랫폼이 14,000달러에 해킹당했습니다. 이번 사고는 oracle.sol 파일에 있는 "convertUsdBalanceDecimalToTokenDecimal()"이라는 함수로 인해 발생했습니다. 플래시론으로 인한 "balanceStableToken" 분모 감소로 인해 "amountTokenDecimal" 변수를 실수로 늘렸습니다. 이 프로젝트는 아직 소셜 미디어 해킹 문제를 해결하지 못했습니다.

🚨 프로젝트: 오션라이프
⛓️ 체인: BSC
🔥 유형: 반사 토큰
💸 손실 금액: $10,500

OceanLife라는 프로젝트가 10,500달러에 해킹당했습니다. 해커는 $OLIFE 전송 시 _reflectFee 함수를 호출하여 풀의 잔고를 늘릴 수 있었고, 이로 인해 총 _tTotal 금액이 감소했습니다. 결과적으로 해커는 늘어난 잔액을 적립한 후 바로 스왑 함수를 호출해 풀에서 상당량의 $WBNB을 인출할 수 있었다. 프로젝트의 소셜 미디어 마지막 업데이트는 2021년이었으며 해당 웹사이트는 더 이상 사용할 수 없습니다.

🚨 프로젝트: 엘레리아 이야기
⛓️ 체인: Arbitrum
품목: 스테이크 익스플로잇(Stake Exploit)
💸 손실 금액: $270,000

지난 주 가장 큰 해킹은 Tales of Elleria라는 Web3 게임에서 발생하여 270,000달러의 손실을 입혔습니다. 공격자는 지갑 주소 Oxf2cbF39e7668EbB113f2C609BBd6eA1dFCe5d376을 사용하여 여러 건의 소액 입금을 수행했습니다. 공격자는 단면 스테이킹 기능을 조작하여 계정의 SELM 잔액을 부풀릴 수 있었습니다. 다음으로, 공격자는 $ELM 토큰의 초기 배치를 게임에서 제거하고 이를 유동성 풀에 판매했습니다. 마지막으로 공격자는 전체 유동성 풀을 고갈시켜 자금을 완전히 고갈시켰습니다. 현재 게임 개발사에서는 해당 취약점을 패치하고 보상 방안을 모색하고 있습니다.