search

4. Mempool, Front-Running & MEV

Trong môi trường blockchain, mọi giao dịch chưa xác nhận đều nằm tại Mempool công khai. DODEN.IO thiết kế hệ thống dựa trên sự minh bạch này, đồng thời phân tách rõ rệt hai cấp độ bảo mật: Permit (Cơ bản) và Session Key (Nâng cao) để ứng phó với các hành vi khai thác từ Mempool.

hashtag
4.1. Bản chất của Public Mempool

Mempool không phải là một lỗi bảo mật, mà là đặc tính hiển thị của blockchain.

  • Mọi Node đều có thể nhìn thấy giao dịch đang chờ xử lý.

  • Attacker có thể quan sát thông tin nhưng không thể thay đổi các dữ liệu đã được người dùng ký số (Digital Signature).

  • Mọi hành động thực thi cuối cùng vẫn phải tuân thủ nghiêm ngặt logic của Smart Contract.

hashtag
4.2. Phân tích lỗ hổng tiềm tàng khi sử dụng Permit (Người chơi vãng lai)

Với những người chơi mới hoặc vãng lai chỉ sử dụng Permit, hệ thống chấp nhận một mức độ rủi ro tối thiểu trong Mempool để đổi lấy sự tiện lợi:

  • Rủi ro Front-running địa chỉ Referral: Mặc dù Attacker không thể đánh cắp USDT (vì chữ ký Permit đã khóa cứng địa chỉ nhận là Smart Contract), nhưng trong một số kịch bản, Attacker có thể sao chép chữ ký Permit hợp lệ và gửi một giao dịch song song với phí gas cao hơn, trong đó thay đổi tham số địa chỉ ví giới thiệu (Referral) thành địa chỉ của chúng để chiếm đoạt hoa hồng.

  • Hành vi Griefing (Phá hoại): Attacker có thể "chạy trước" để thực thi ván chơi của người dùng nhằm mục đích phá hoại. Tuy nhiên, hành vi này không mang lại lợi nhuận vì tiền thắng vẫn về ví người dùng, trong khi Attacker phải tự trả phí gas.

  • Giới hạn thiệt hại: Lỗ hổng này chỉ tồn tại trong phạm vi một ván chơi (one-time) và không đe dọa đến số dư tổng tài sản của người dùng.

hashtag
4.3. Session Key: Giải pháp khắc phục toàn diện

DODEN.IO thiết kế cơ chế Session Key để nâng cấp bảo mật vượt trội, khắc phục hoàn toàn các kẽ hở mà Permit gặp phải:

  • Cơ chế Xác minh kép (Dual Verification):

    • Bước 1: Người dùng ký Permit để giới hạn hạn mức chi tiêu.

    • Bước 2: Session Key tự động ký thêm một lớp xác thực thứ hai, đóng gói toàn bộ thông tin đặt cược (Số tiền, lựa chọn cược, địa chỉ Referral, House) vào trong nội dung ký trước khi gửi tới Relayer.

  • Chống Front-running & Thay đổi dữ liệu: Vì thông tin cược và Referral, House đã được Session Key xác thực on-chain, Smart Contract sẽ đối chiếu chữ ký này với dữ liệu thực tế. Nếu Attacker cố tình thay đổi địa chỉ Referral, House trong Mempool, chữ ký Session Key sẽ ngay lập tức mất hiệu lực và giao dịch bị từ chối.

  • Triệt tiêu lợi nhuận MEV: Với Session Key, mọi nỗ lực quan sát mempool để tìm kiếm lợi nhuận (MEV-profit) hay phá hoại (Griefing) đều bị triệt tiêu tuyệt đối.

hashtag
4.4. So sánh mô hình đối tượng người dùng

Đặc điểm

Hình thức Permit (Vãng lai)

Hình thức Session Key (Chính thức)

Bảo mật tài sản

An toàn (Giới hạn bởi hạn mức ký)

An toàn tuyệt đối

Rủi ro Mempool

Có thể bị can thiệp tham số phụ (Referral)

Khắc phục hoàn toàn mọi sự can thiệp

Phí Gas

Gasless (Relayer trả)

Gasless (Relayer trả)

Động cơ tấn công

Thấp (Không có lợi nhuận kinh tế)

Bằng không (Zero incentive)

hashtag
Kết luận

  • Public Mempool không phải là rủi ro nếu hệ thống có thiết kế đối ứng phù hợp.

  • Permit là giải pháp "phễu" cho người chơi thử với rủi ro được kiểm soát ở mức tối thiểu.

  • Session Key là tiêu chuẩn vàng của DODEN.IO, mang lại khả năng bảo mật gần như tuyệt đối chống lại mọi kiểu tấn công MEV, Front-running hay thay đổi dữ liệu phiên cho người chơi lâu dài.

Previous3. Frontend, Relayer & HTTPS Trust ModelNext5. Gasless Transfers & Anti-DoS Protection

Last updated