About Teletype
Join
Slem
@slem_1337
January 11

Раскрытие информации об инциденте 2024-10-09

Краткое содержание

  • Майнер, извлекающий ценность (MEV), и "сэндвич-атака" во время развертывания ликвидного пула UniV3.
  • Казначейство потеряло 230 ETH.
  • Позиции UniV3 находятся в казне.
  • Все средства находятся в безопасности. От пользователей не требуется никаких действий.

Фон

  1. 7.5m XD + 777 ETH в SushiSwapV3 ликвидном пуле успешно развернуто на V3.

2. 1,7 млн. XD + 380 ETH были сняты из SushiSwapV3 LP.

3.К существующему ликвидному пулу добавлен в одностороннем порядке 1,8 миллион XD.

4. MEV-бот произвел флешсвап 217 ETH из пула UniV3 и 0,0000017 ETH на 1,8 млн XD из пула Sushi v3. Бот отправил 1,8 млн XD в пул UniV3 для погашения флэшсвопа.

5. В пул UniV3 LP добавлено 176 ETH + 100K XD. c0ffeebabe.eth совершает сделку с прибылью в 74 ETH ($170k).

Подробности уязвимости

Во время размещения ордера пользователь указывает допустимое проскальзывание. Когда пользователь указывает, что готов принять определенную неоптимальную цену, MEV боты используют эту возможность, чтобы использовать цену актива и извлечь выгоду для себя.

Бот опережает пользователя, размещая транзакцию непосредственно перед его сделкой. Это повышает цену токена ровно на ту сумму, которая необходима для того, чтобы транзакция жертвы прошла с максимальным допустимым проскальзыванием.

После того как сделка пользователя проходит (при максимальном проскальзывании), это еще больше поднимает цену актива. Сразу после этого бот размещает сделку на продажу (backrunning), получая выгоду от этого искусственного ценового арбитража.

По сути, бот заключает сделку по низкой цене, использует проскальзывание пользователя и его влияние на цену, а затем продает по более высокой цене.

Пользователь проигрывает, поскольку ему приходится платить больше, чем при других обстоятельствах, и он получает меньше токенов за свою сделку.

Детали устранения

Практика управления рисками была применена к развертыванию ликвидности.

  1. Инструменты управления рисками:
    взаимодействуют напрямую с конечной точкой RPC Flashbots — https://docs.flashbots.net/flashbots-auction/advanced/rpc-endpoint .
  2. Практика управления рисками LP:
    для резервов ликвидности на сумму более 100 ETH добавляется только 100 ETH на каждый резерв.
  3. Повышение прозрачности и подотчетности:
    раскрытие информации об инцидентах предназначено для общественности и будущей команды.

Возмещение убытков по маршрутизации

Пожалуйста, пришлите свой TX за потерянный во время маршрутизации XD. Потерянные во время маршрутизации XD будут компенсированы за счет средств команды.

Выкуп

25% дохода от POL будет использовано для увеличения текущей ликвидности ежедневно с 6 утра до 12 вечера.

Рекомендации

  1. https://twitter.com/0xBoboShanti/status/1744828461254934975
Slem
January 11, 11:25
0 reactions
0 views