周五,根据他的Twitter账户,Dan确实是一名律师和程序员。按照他的分析,研究从其他用户那里获利。用户无意中向智能合约发送了不正确的代币。当一位以太坊用户与他联系时,罗宾逊在他眼皮底下看到了这个问题。一个人希望为Uniswap上的一个交易对提供流动性。池子里的代币往往是在向池子里存入最初的代币后获得的。他们以后可以取回初始代币以及从提供流动性中获得的利息。但他没有发送强制代币,而是错误地发送了相关的Pool-tokens。误发的代币价值约为$12.000。最初,罗宾逊认为这些代币已经一去不复返了。很简单。
收回代币
然后,罗宾逊认为他只需要用用户的地址调用烧毁函数来检索令牌,一切都会好起来。但他没有立即采取行动,而是考虑到了这一点。机器人不断扫描Ethereum mempool,寻找这种机会,这真的不是什么秘密。这真的很明显,只要有赚取利润的机会,其他人也会试图去找他们。机器人将试图通过比赛将这些交易首先纳入区块(例如,通过使用更高的费用)来覆盖这些交易。
Uniswap合约是标准化的。任何人都可以通过ETH/ERC-20或ERC-20交易对开设一个新的池子。因此,对于恶意代理来说,扫描mempool的几个函数调用,确实比监控每一个智能合约要容易。每当调用 "燃烧 "函数的交易落入mempool时,攻击者就会被提醒。
罗宾逊知道,有人最期待这份礼物,他将通过调用烧毁功能来交接。他做了一个决定,寻求专家的帮助来掩盖这笔交易。为此,他在主网上安装了两个智能合约。其中一个在早些时候被另一个激活后,调用了烧毁功能。
博特人的速度更快
因为一些失误。这个小错误是所有攻击者有必要成功的。罗宾逊承认犯了错误,而且几乎可以肯定的是,只要增加小心,就可以找回代币。但他同时指出了一个更大的问题。
矿工本来可以更有效地执行这一步骤。罗宾逊写道,"跑前跑后 "的例子是每天发生的众多例子中的一个。经济上的激励可能会促使矿工完成与这些机器人一模一样的任务,但有很大的优势。矿工不需要将交易推送到mempool,一旦轮到他们,就可以直接将其纳入区块,同时省略他们试图覆盖的交易。此外,他们可能只需要模拟一个较高的气体费用,因为他们将赚取开采区块的费用。更多的是,矿工们可以忽略以前的区块,只要有足够的经济激励。这使得获利的机会更高。
是否有补救措施?
罗宾逊呼吁读者,如果他们正在考虑这个问题,或关注可能的解决方案,请与他联系。EOS软件的开发者Daniel Larimer把你的博文挑到了Twitter上。
由于这个原因,1TP4Tethereum不适合#defi所述的问题在#EOS上不存在,因为它既太快了,无法在前面运行,而且生产者是已知的,将被追究责任。在#eth上发生的事情很可怕。
EOS确实混迹于DeFi的发展中,但还是像其他平台一样落后于Ethereum。尚有待观察。但它肯定是值得跟踪的。