夾子被夾子夾了，解析MEV機器人如何淪為黑客提款機

今天下午，加密用戶3155.eth發文稱，一些頂級MEV 機器人正成為黑客的攻擊目標，其「三明治攻擊」中的交易模塊被替換，目前已造成超過2000 萬美元的損失，這可能成為整個MEV 生態系統的主要轉折點。

Odaily查詢發現，黑客攻擊發生在約10 小時前（以太坊區塊高度16964664 ），黑客使用了八個錢包地址（鏈上原始資金來自Kucoin），對五個MEV 機器人實施攻擊，分別是：

根據鏈上分析機構Lookonchain統計，目前總損失約2520 萬美元，主要涉及五大幣種，具體如下： 7461 個WETH（1340 萬美元）、 530 萬美元USDC、 300 萬美元USDT、 65 個WBTC（180 萬美元）以及170 萬美元DAI。

在了解本次攻擊前，我們首先需要知道什麼是MEV 以及MEV 是如何實現三明治攻擊的？

所謂MEV 是“礦工可提取價值（Miner Extractable Value）”或“最大可提取價值（Maximal Extractable Value）”的縮寫。礦工或者驗證者，有能力在區塊內對交易進行排序，從而使得部分交易可以搶先交易。通常的做法是，一些MEV 機器人會支付高昂的GAS 費用從而獲得驗證者優先排序處理交易，通過價差獲利；當然，也會有驗證者直接下場，沒有支付高昂GAS 費用但優先打包自己的交易。

良性的MEV 形式是套利、清算，而被DeFi 玩家詬病的則是「三明治攻擊」，即在原始交易之前就“插隊”進行自己的交易購買資產，然後加價賣給原始購買者。通常而言，bundle 可以拆分為三筆交易： 1 ）大量買入， 2 ）被夾用戶的交易；3 ）大量賣出。

安全公司CertiK 告訴Odaily，本次黑客攻擊之所以能夠成功，在於黑客自己成為驗證器，可以看到MEV 機器人的bundle 原始信息，從而將第二步替換了成自己的交易，用便宜的Token 換走了MEV 機器人的資金。

“驗證者一般需要訪問某些特定信息來挖掘交易，而惡意驗證者其實可以從中諸如公共內存池（mempool）中獲取bundle 的信息。flashbot 驗證者通常比較可靠，因為他們都要通過MevHUB 的KYC 驗證，以保證數據來源安全可信。在這種情況下，因為驗證者掌握了信息，所以能先於MEV 搜尋者或MEV 機器人發起搶先交易。”

Odaily查詢鏈上數據發現，以太坊區塊16964664 屬於Slot 6137846 ，由驗證器552061 提議，該驗證器的32 ETH 資金是黑客在18 天通過隱私保護協議Aztec Network 進行轉賬，匯入0x 873 f 73 開頭的地址，如下所示：

在完成了前期準備之後，攻擊者會試探MEV 機器人是否會搶跑交易。例如下圖中，我們可以看到攻擊者通過0.04 WETH 試探MEV 機器人，勾引MEV 機器人進行搶跑套利；發現Uniswap V2 的ETH/Threshold 池中確實有MEV 機器人進行監控，並且還會使用其所有的資金進行套利。在此期間，黑客也一直在試探MEV 是否使用自己的驗證器進行出塊。

試探成功後，黑客會使用預先在Uniswap V3 中兌換出來的大量代幣，在低流動性的V2 池內進行兌換操作，勾引MEV 使用全部的WETH 進行搶跑購買不值錢的Threshold 代幣；再用Threshold代幣換走MEV 機器人投入的所有WETH。由於MEV 進行搶跑的WETH 已經被攻擊交易兌換出來，所以MEV 機器人想要重新換回WETH 的操作會執行失敗。

除了上面提到的Threshold 代幣，黑客還還操縱其他七個地址對Uniswap V2 池中的AAVE、STG、SHIB、CRV、BIT、UNI 以及MKR 等七個代幣進行價格操縱，實現獲利，如下所示：

安全公司Beosin 認為，黑客能夠成功的原因主要有三個：一是MEV 每次在低流動性池中套利會使用自身所有的資金，沒有風險控制；二是V2 池流動性不高，並被黑客操縱；三是具有驗證節點權限，可以修改bundle。

本次攻擊事件，也給MEV 搜尋者提了個醒，為了避免「三明治攻擊」，需要及時調整交易策略，並選擇一些有驗證歷史記錄的“靠譜”驗證者。鏈上數據顯示，夾擊MEV 機器人的惡意驗證者目前已被Slash 懲罰並踢出驗證者隊列，相關資金已經匯聚到下面三個地址中，等待下一步行動，Odaily也將持續關注後續動向：

• 0x3c98d617db017f51c6a73a13e80e1fe14cd1d8eb；

• 0x5B04db6Dd290F680Ae15D1107FCC06A4763905b6；

• 0x27bf8f099Ad1eBb2307DF1A7973026565f9C8f69