More to Extract: Discovering MEV by Token Contract Analysis

Diese Arbeit stellt eine Pipeline zur Entdeckung von Token-basiertem MEV (tMEV) vor, die mit dem statischen Analysewerkzeug tSCAN und dem Sucher tSEARCH nicht-standardisierte Token-Funktionen identifiziert und profitable Angriffsvektoren aufdeckt, die bisherige Sucher übersehen und die auf Ethereum ein zehnfach höheres Gewinnpotenzial bieten.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschung, als würden wir sie an einem gemütlichen Nachmittag bei Kaffee besprechen.

Das große Ganze: Der unsichtbare Goldrausch in der Blockchain

Stell dir die Blockchain (wie Ethereum) als einen riesigen, öffentlichen Marktplatz vor. Hier tauschen Leute ständig Dinge (Kryptowährungen) untereinander. Normalerweise denkt man, dass derjenige, der zuerst kommt, zuerst bedient wird. Aber auf diesem Marktplatz gibt es eine geheime Regel: Der Marktwächter (der "Block-Produzent") darf die Reihenfolge der Kunden entscheiden.

Das Phänomen, bei dem geschickte Händler diese Reihenfolge manipulieren, um Geld zu verdienen, nennt man MEV (Maximal Extractable Value). Bisher haben Forscher vor allem nach Händlern gesucht, die die Preise der Waren manipulieren (wie bei einem normalen Supermarkt, wo der Preis von Angebot und Nachfrage abhängt).

Aber diese Forscher haben etwas Wichtiges übersehen: Sie haben sich nur den Supermarkt angesehen, aber nicht den Hersteller der Waren.

Die neue Entdeckung: Der "Magische Geldautomat"

Die Autoren dieses Papiers (Jiaqi Chen, Yuzhe Tang und Yue Duan) haben einen neuen Typ von Geldgewinn entdeckt, den sie tMEV nennen.

Stell dir vor, du hast einen Geldautomaten (einen Token-Vertrag). Normalerweise gibt er dir genau das Geld heraus, das du hineingeworfen hast. Aber bei diesem speziellen Automaten passiert etwas Magisches: Wenn jemand anders einen Knopf drückt (eine sogenannte "Rebase"-Funktion), vervielfacht sich plötzlich das Geld in jedem Portemonnaie auf der Welt, ohne dass jemand etwas tun muss.

Das Problem: Der Preis, zu dem du deine Waren auf dem Marktplatz tauschen kannst, reagiert nicht sofort auf diese plötzliche Vermehrung.

Ein einfaches Beispiel (Die Analogie):

1. Der normale Fall: Du kaufst einen Apfel für 1 Euro. Wenn der Preis steigt, musst du mehr zahlen. Das kennen wir.
2. Der neue Fall (tMEV):
   • Du kaufst einen Apfel für 1 Euro.
   • Dann passiert etwas Magisches: Ein Zauberer (der Token-Vertrag) sagt: "Ab jetzt hat jeder Apfel auf der Welt das Doppelte an Gewicht!" (Das ist die Supply Control).
   • Aber: Der Marktplatz (der Pool) ist noch nicht aufgeklärt. Er sagt immer noch: "Ein Apfel kostet 1 Euro", obwohl er jetzt doppelt so schwer ist.
   • Du tauschst deine schweren Äpfel sofort gegen Geld zurück. Da der Preis noch alt ist, bekommst du für deine "schweren" Äpfel doppelt so viel Geld, wie du eigentlich hättest bekommen sollen.
   • Du machst einen riesigen Gewinn, ohne dass der Marktplatz es merkt.

Warum haben die alten Detektive das übersehen?

Die bisherigen Werkzeuge (wie Nyx oder Foray) waren wie Detektive, die nur die Kassen und die Kunden im Supermarkt beobachtet haben. Sie haben geschaut: "Wer hat wann was gekauft?" und "Hat der Preis sich verändert?".

Sie haben aber nie in die Fabrik (den Token-Vertrag) geschaut. Sie wussten nicht, dass der Zauberer im Hintergrund die Menge der Äpfel verändert hat.

• Alte Werkzeuge: "Der Preis hat sich nicht geändert, also kein Gewinn möglich."
• Neue Werkzeuge (dieses Papier): "Moment mal! Die Menge der Äpfel hat sich verdoppelt, aber der Preis ist noch alt. Da ist ein Gewinnloch!"

Die Lösung: Zwei neue Werkzeuge

Die Forscher haben zwei neue Werkzeuge gebaut, um diese Löcher zu finden:

1. tSCAN (Der Fabrik-Inspektor):

   • Stell dir vor, tSCAN ist ein Roboter, der durch die Fabrikhallen (den Code der Token) läuft.
   • Er sucht nach speziellen Knöpfen, die die Menge der Waren für alle Besitzer gleichzeitig ändern (wie den "Rebase"-Knopf).
   • Er erstellt eine Karte: "Hier drüben passiert Magie, die das Gleichgewicht stört."

2. tSEARCH (Der Jäger):

   • Sobald tSCAN eine Magie-Karte gefunden hat, wird tSEARCH aktiv.
   • tSEARCH ist wie ein hochgeschulter Händler, der auf dem Marktplatz steht. Er wartet darauf, dass jemand den "Magischen Knopf" drückt.
   • Sobald er das sieht, berechnet er blitzschnell: "Wenn ich jetzt schnell kaufe, warte, bis der Zauber wirkt, und dann sofort wieder verkaufe, mache ich Gewinn."
   • Er führt diese Transaktionen automatisch durch, bevor die anderen es merken.

Was haben sie herausgefunden?

Als sie ihre neuen Werkzeuge auf die echte Welt (Ethereum) anwendeten, passierte etwas Erstaunliches:

• Die alten Händler waren blind: Die aktuellen Profis auf dem Marktplatz haben diese Gewinnchancen komplett übersehen. Sie ließen Geld auf der Straße liegen.
• Riesiger Gewinn: Mit ihrem neuen System (tSEARCH) konnten sie 10-mal mehr Gewinn erzielen als die aktuellen Marktteilnehmer.
• Viele versteckte Fallen: Sie haben Tausende von Token gefunden, die diese "magischen" Funktionen haben, aber die meisten Leute wissen nichts davon.

Warum ist das wichtig?

Das klingt vielleicht wie ein Trick, um reich zu werden, aber es ist eigentlich eine Sicherheitswarnung.

• Für die Sicherheit: Es zeigt, dass viele Krypto-Projekte (DeFi) unsicher sind, weil ihre "Zauber-Token" nicht mit den Preisen auf dem Markt synchronisiert sind.
• Für die Zukunft: Die Forscher wollen nicht, dass Leute diese Lücken ausnutzen, um anderen zu schaden. Sie wollen, dass die Entwickler ihre Systeme verstehen und diese "Magischen Knöpfe" so bauen, dass sie keine unbeabsichtigten Gewinnlöcher hinterlassen.

Zusammenfassend:
Die Forscher haben entdeckt, dass es auf dem Krypto-Marktplatz eine neue Art von Diebstahl gibt, die nicht durch Preisschwankungen, sondern durch das plötzliche "Verdoppeln" der Warenmenge entsteht. Sie haben Werkzeuge gebaut, um diese Lücken zu finden, und gezeigt, dass wir bisher viel mehr Geld ungenutzt gelassen haben, als wir dachten. Ihr Ziel ist es, das System sicherer zu machen, damit niemand mehr durch solche "Magie" überrascht wird.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „More to Extract: Discovering MEV by Token Contract Analysis" auf Deutsch:

1. Problemstellung

Das Paper adressiert eine bisher vernachlässigte Lücke in der Forschung zu Maximal Extractable Value (MEV) auf Blockchains wie Ethereum. Während bestehende MEV-Entdeckungswerkzeuge sich primär auf Anwendungsschicht-Verträge (z. B. DEX-Pools) oder Angreifer-Verträge konzentrieren, ignorieren sie die Rolle von Token-Smart-Contracts.

Das zentrale Problem ist die Existenz von Token-Supply-Control (TSC)-Funktionen in nicht-standardisierten Token-Implementierungen (z. B. Rebase-Token wie AMPL). Diese Funktionen können die Token-Bestände aller Konten gleichzeitig ändern. Wenn diese Änderungen in Kombination mit preisunempfindlichen Austauschmechanismen (Price-Insensitive Exchanges, PITEX) auftreten, entstehen neue, hochprofitable MEV-Möglichkeiten, die von aktuellen Suchern (Searchern) übersehen werden.

Ein konkretes Beispiel ist ein „Sandwich-Angriff" auf einen Rebase-Ereignis: Ein Angreifer tauscht Token vor dem Rebase, profitiert von der plötzlichen Erhöhung des Token-Bestands durch den Rebase (ohne dass sich der Preis im Pool ändert), und tauscht zurück. Herkömmliche Tools wie Nyx oder Foray erkennen diese Angriffe nicht, da sie entweder nur die Anwendungsschicht analysieren oder auf Zyklen in Standard-Token-Operationen angewiesen sind.

2. Methodik

Die Autoren stellen eine Pipeline zur Entdeckung und Ausnutzung von tMEV (Token-MEV) vor, bestehend aus zwei Hauptkomponenten:

A. tSCAN (Statische Analyse)

tSCAN ist ein statisches Analyse-Tool, das auf Slither aufbaut und Smart Contracts auf Token-Ebene untersucht.

• Ziel: Identifikation von Token-Supply-Control (TSC)-Funktionen.
• Definition von TSC: Funktionen, die den Gesamtbestand eines Tokens ändern (Typ-1) oder die Bestände mehrerer Konten synchron nach derselben Formel aktualisieren (Typ-2, z. B. multiplikative Rebase).
• Technik:
  1. Konstruktion eines Token System Dependency Graph (tSDG), der intra- und interprozedurale Daten- und Kontrollabhängigkeiten abbildet.
  2. Suche nach erreichbaren Ausführungspfaden (tPath), die von einer TSC-Funktion (z. B. rebase) zu einer balanceOf-Abfrage führen und dabei Bestände mehrerer Konten (Angreifer und Pool) gleichzeitig ändern.
  3. Generierung statischer Constraints, die diese Abhängigkeiten formalisieren.

B. tSEARCH (Dynamische Suche)

tSEARCH ist ein MEV-Sucher, der die von tSCAN gefundenen TSC-Funktionen mit preisunempfindlichen Austauschpools (PITEX) kombiniert.

• PITEX-Erkennung: Das System identifiziert Pools, deren Spot-Preis nicht auf Änderungen des Token-Bestands im Pool reagiert (z. B. Aave für Kredite, Uniswap V3/V4 für bestimmte Swaps oder Liquidity-Additions in inaktiven Ticks).
• Workflow:
  1. Offline-Phase: tSCAN generiert statische Constraints basierend auf den TSC-Funktionen und den identifizierten PITEX-Pools.
  2. Online-Phase: tSEARCH überwacht den Mempool auf unbestätigte Transaktionen. Wenn eine Transaktion eine TSC-Funktion auslöst, werden die statischen Constraints mit Laufzeitdaten (z. B. aktuelle Reserven) konkretisiert.
  3. Constraint-Lösung: Ein Solver (Z3) berechnet profitable Transaktionssequenzen (z. B. Sandwich-Angriffe), die den Angreifer bereichern, indem sie die Diskrepanz zwischen Token-Bestand und Preis ausnutzen.

3. Schlüsselbeiträge

• Neues Forschungsproblem: Die Definition und Entdeckung von tMEV, das aus der Komposition von nicht-standardisierten Token-Funktionen (TSC) und preisunempfindlichen Börsen entsteht.
• Neue Werkzeuge:
  • tSCAN: Ein statischer Analyzer, der TSC-Funktionen in Token-Verträgen erkennt, die von bisherigen Tools ignoriert wurden.
  • tSEARCH: Ein effizienter Sucher, der diese Lücken nutzt, indem er mehrere Opfer-Transaktionen überwacht und cross-layer Abhängigkeiten (Token-Ebene zu Pool-Ebene) löst.
• Formale Definitionen: Einführung formaler Definitionen für TSC (Supply-Änderung und synchronisierte Multi-Account-Updates) und PITEX (Preisunempfindlichkeit gegenüber Bestandsänderungen).
• Template-basierte Entdeckung: Entwicklung von MEV-Templates (z. B. D1+ für Sandwich-Angriffe auf positive TSC), die systematisch profitable Muster generieren.

4. Ergebnisse

Die Evaluation wurde auf Basis von Ethereum-Hauptnetz-Daten durchgeführt:

• Profitabilität: Der vorgeschlagene tSEARCH extrahiert 10-mal mehr Gewinn als die aktuell beobachtete MEV-Aktivität auf Ethereum. In einem Szenario mit 7.030 bereitgestellten Pools wurden $2,28 Millionen extrahiert.
• Erkennungsfähigkeit: Aus 22.279 gesammelten Token-Verträgen wurden 5.434 TSC-Token identifiziert. Diese nutzen diverse Mechanismen (explizite Trigger, implizite Zustandsänderungen).
• Genauigkeit: tSCAN erreicht eine sehr niedrige False-Positive-Rate (1,8 %) und False-Negative-Rate (0,40 %) auf einem manuell gelabelten Ground-Truth-Datensatz.
• Vergleich mit State-of-the-Art: Tools wie Nyx scheiterten daran, profitable tMEV-Fälle (wie D1+) zu erkennen, da sie nur die Anwendungsschicht analysieren und cross-layer Laufzeitabhängigkeiten übersehen. Foray scheiterte, da es auf Zyklen in Standard-Operationen angewiesen ist.

5. Bedeutung und Implikationen

• Sicherheitsrisiko: Die Forschung zeigt, dass Liquiditätsanbieter in preisunempfindlichen Pools (z. B. Uniswap V3, Aave) einem bisher unterschätzten Sicherheitsrisiko ausgesetzt sind, da ihre Bestände durch Token-Rebases manipuliert werden können, ohne dass der Preis im Pool angepasst wird.
• Ökonomische Auswirkungen: Die Entdeckung dieser neuen MEV-Strategien könnte zu mehr Transaktionsaktivität führen, was Validatoren zugutekommt, aber auch die Risiken für Nutzer erhöht, wenn ihre Transaktionen in solchen Pools „sandwiched" werden.
• Verantwortungsvoller Umgang: Die Autoren haben keine Exploit-Codes veröffentlicht und haben die identifizierten Schwachstellen verantwortungsbewusst an die Uniswap-Community gemeldet, um die Entwicklung sichererer Protokolle zu fördern.

Zusammenfassend demonstriert das Paper, dass die Analyse der Token-Ebene entscheidend ist, um das volle Spektrum der MEV-Möglichkeiten auf Blockchains zu verstehen, und bietet ein funktionierendes Framework, um diese bisher unsichtbaren Gewinne zu erschließen.