编者注:本文简述了一个非常有趣的故事,一个专门去套利的机器人,被人”套利“了,非常奇妙。
不看版:曾经在Uniswap上交易过的机器人,可以申领到400UNI。但他们需要小心!如果机器人没有得到适当的保护,就会遭到抢劫。这是一个讲述被黑客利用故事,对黑客来说,这只是利用$EMN之前的热身,也是对粗心大意的机器人操作者一个警示。
@FrankResearcher最近的推特中描述的案例,给了我们启发。
真的可以从Uniswap上交易过的合约上申领UNI,并从中窃取代币吗?
在与_进行了一些数据整理后,我们意识到,在很多情况下,这是可能的,这个漏洞可以很容易地用来窃取机器人托管的任何代币。
所以,趁早检查你的机器人吧!。
安全团队:PolkaDex项目Discord服务器遭入侵:金色财经消息,据CertiK官方推特发布消息称,PolkaDex项目Discord服务器遭入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/2 22:13:13]
通用套利模式
当同一资产在两个交易所的价格不同时,就会产生在一个地方瞬间买入,在另一个地方瞬间卖出的机会。
例如,如果在交易所1上1UNI=0.01219ETH,而在Exchange2上1UNI=0.01321ETH,而你恰好有10个ETH,你可以:
在交易所1上以用10ETH购买820.3445UNI。
立即在交易所2上用820.3445UNI兑换10.8367ETH。
Stargate DAO社区同意将Circle的欧元稳定币添加到Stargate:6月5日消息,Stargate DAO社区投票支持将Circle的欧元稳定币EUROC添加到Stargate,以增加用户数量、交易数量与交易量。EUR/USD货币对约占外汇交易量的20%。该投票已结束,支持率为95.25%。[2023/6/5 21:16:03]
享受你的利润,即0.8357ETH减去gas。
每个市场上都有成百上千的机器人在寻找这样的机会,这通常是一个双赢的局面。机器人为其操作者创造了利润,但同时也使市场保持了平衡。
简单套利机器人架构
套利的关键在于时机。套利交易者必须在别人发现机会之前,迅速采取行动,因为他们的成功取决于两个独立的交易。对他们来说,最好的解决方案通常是创建一个套利机器人。
尼日利亚批准创建“区块链驱动”经济的国家政策:金色财经报道,尼日利亚政府批准一项国家区块链政策,作为该国向数字经济转型努力的一部分,该政策由尼日利亚联邦通信和数字经济部制定。据官方声明表示,“该政策的愿景是创建一个以区块链为动力的经济,支持安全交易、数据共享和人、企业和政府之间的价值交换,从而增强所有人的创新、信任、增长和繁荣。政府已批准成立一个多部门指导委员会负责监督政策的实施。”
目前,该政策文件似乎尚未公开,且声明没有提到加密货币。[2023/5/4 14:42:32]
可能的架构有很多,我不多说技术细节,但通常会包括:
链外逻辑--实时跟踪市场价格和gas成本,寻找套利机会,评估风险和同时权衡风险/回报。
操作者--用于触发机器人行动的以太坊地址。
巴西政府准备出台新法令以澄清加密货币规则:金色财经报道,巴西政府正准备发布一项法令,以填补最近批准的加密货币法留下的空白。该文件由财政部准备,将确定巴西中央银行和国家证券监管机构 (CVM) 的监督和职责范围。(News Bitcoin)[2023/2/18 12:15:00]
机器人本身--一个智能合约,具有存款,功能函数,参数化。
套利例子
我们来看看这个机器人被”利用“之前的历史。
例如在本次交易中,它在WETH/MCX市场上Balancer和Uniswap之间的套利赚取了0.0197ETH,花费了0.0067ETH的油费。
可以想象一下机器人和它的操作者之间的对话:
操作者发现在Balancer上的MCX价格比Uniswap的价格低一些。
Tether应执法部门要求开始冻结FTX的USDT:11月10日消息,Tether在调查期间应执法部门的要求开始冻结FTX的USDT。据链上数据显示,一个余额为46,360,701枚USDT的未知地址遭到冻结,随后该地址被证实属于FTX。[2022/11/10 12:45:48]
操作者-"嘿,机器人,醒醒吧。这是0.65ETH。去Balancer上买一些MCX,然后马上在Uniswap上卖掉。"
机器人--"是的,是的,是的!让我们赚取利润!"
机器人在Balancer上交易0.65ETH,得到9955.29MCX。
机器人--"万岁,交易成功。让我检查一下我的口袋。哇,我有9955.29MCX,我们赚一笔吧!"
机器人在Uniswap上交易9955.29MCX,获得0.6696ETH.。
机器人--"万岁,交易也成功了。我有0.6696ETH,是由最初的0.65ETH”生“出来的。利润不错哦!我就是这样一个伟大的机器人。请抱抱我......"
潜在的攻击
要实现这一切,至少有两个命令需要机器人理解。
某种"do_arbitrage"指令,在该指令中,操作者说在什么地方、什么东西和如何交易资产;以及
某种"give_me_your_money"的指令,操作员从机器人的口袋里提取赚取的利润。
很明显,第二个指令必须尽可能的保护起来,因为操作者绝对不希望别人偷走它的珍贵Tokens。
但第一个命令似乎很安全。如果机器人足够聪明,可以检查套利是否成功,是否获利,那么操作者为什么要保护这个?甚至鼓励大家调用机器人,为我们赚钱,也许是好事呢?这其实是第一个潜在的攻击点。
这可能是操作者在被利用的机器人中留下"do_arbitrage"函数不加保护的一个原因。
第二个潜在的攻击点是在参数化调用给了太多的自由。其实这个机器人假定至少要与UniswapRouter的swapExactTokensForTokens函数进行一次交易,但这对于一个聪明的”利用者“来说并不是什么大问题。
为合约申领UNI
现在简单说一下关于申领UNI代币的问题。
正如Uniswap公告(链接)的那样,在Uniswap2上交易的每个地址都有资格申请到400UNI。这也意味着,曾经在Uniswap2上交易过的合约也可以领取UNI。
但这样一个已经部署好的机器人,很可能没有实现"申领"功能,所以你可能会觉得无能为力。
但Uniswap提供了另一种方法--你可以代另一个地址申领UNI。
这是一个使用EthTx.info的这种交易的例子。
所以合约得到了不错的新UNI代币奖励,但真正的问题是如何从机器人的口袋里提取代币?如果它是你的合约,它可能很简单。但是,如果因为某些原因无法这样做呢?
或者说,如果不是你的机器人呢?
这就是这个故事变得有趣的地方
这一切是如何发生的
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
登链社区
现已在非小号资讯平台发布105篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9615159.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
深入解析MakeDao在新周期里的机遇和风险
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。