本文重點：

女巫攻擊是透過創造大量虛假身分來操控網路的一種網路攻擊方式。

區塊鏈常見防女巫攻擊的作法是利用共識機制來提高節點門檻。

空投項目如果不防女巫攻擊，可能會造成獎勵都被少數人給拿走。

空投項目防女巫攻擊的做法有透過社群舉報、增加身分標章、DID 等。

 

女巫攻擊是什麼：分身操控空投結果

女巫攻擊是一種網路攻擊，透過創造大量虛假身分 (例如假帳號)，來試圖影響或操控網路的一種攻擊方式。

女巫攻擊常見於創造大量分身參與投票，影響投票結果；開一大堆分身帳號參與抽獎，提高自己被抽到的機率；在網路上用大量假帳號留下大量假評論、創造大量假互動 ... 等。

 

女巫攻擊英文原名 Sybil Attack，Sybil 是一名曾經被診斷為多重人格的女性，取多重人格中分身的概念，將這種創造大量分身試圖操控網路的行為稱為 Sybil Attack，而描述 Sybil 故事的小說與同名電影中文翻譯為女巫，是女巫攻擊這中文名稱的由來。

 

區塊鏈被女巫攻擊會怎樣？- 51% 攻擊的風險

區塊鏈是分散式的處理系統，透過大量節點來分散處理與存儲資訊，由節點們確認交易與打包出塊，若是去中心化運作的區塊鏈，還會透過投票來進行決策。

如果其實多數節點都是由同一個人創造的呢？這會導致看似分散的網路其實很集中，一來資料就沒有真的分散處理存儲，風險依然很高，二來是可以透過大量節點影響確認和出塊來操控區塊鏈網路運作，甚至進一步控制多數節點達到 51% 攻擊，或在投票中操控投票結果直接影響決策。

區塊鏈的運作仰賴大量節點，必須確保這些節點都是真實且不帶惡意的，才能保障區塊鏈的網路安全。

 

區塊鏈如何預防女巫攻擊：提高成本

基本的做法是：讓女巫攻擊在現實上變得不可能，提高女巫攻擊的實際成本，讓它變得不切實際。

透過共識機制就可以預防女巫攻擊，以常見的兩種 POW / POS 共識機制來說明：

POW 工作量證明如何防女巫攻擊

在 POW 機制下，節點們透過計算數學題目來取得打包出塊的資格，必須付出大量算力，而算力需要成本，比方說需要買大量顯示卡組礦機，成為節點的成本並不低，想要創造大量分身節點的成本極高，高到不切實際。

 

POS 權益證明如何防女巫攻擊

在 POS 機制下，節點們透過質押加密貨幣來取得打包出塊的資格，必須質押大量加密貨幣，而取得能質押的加密貨幣需要成本，項目方也會設定成為節點的基本門檻。

例如有些速度和效能較高的公鏈，對於節點的硬體設備需求很高；或例如以太坊，成為以太坊節點的最小質押數量為 32 顆以太幣，或也是前幾大質押公鏈的波卡 (Polkadot)，要成為波卡驗證人最小質押數量為 553 顆波卡，同時還有硬體設備上的需求。

有這些門檻的存在，實際上很難做到創造大量分身節點。

 

項目空投為什麼要防範女巫攻擊？一切都是成本考量

有些項目在發幣時，會獎勵早期使用者，空投代幣到符合資格的錢包地址中，但如果這些錢包地址其實都是同一個人？

也可能不是要獎勵早期使用者，而是基於行銷目的，類似餐廳打卡送小點心，空投某些獎勵到符合資格的錢包地址，但如果這些都是同一個人？

餐廳發很多張優惠券出去，或是針對會員給予感恩回饋，結果都是同一個人的分身去領走，這樣完全沒有達成餐廳原本的目的，沒有行銷到設定的對象，沒有回饋到真正的會員，優惠與獎勵只是被特定人士占走了便宜。

 

女巫攻擊及實例3項分析

如果要空投的項目不防女巫，被特定人士大舉刷單刷量刷身分，空投獎勵出去其實都只投給同一小群人，項目方並沒有真的達到獎勵早期使用者 或者 行銷的目的，只是被特定人士給占了便宜。

幣圈中有些人專門嚕空投，四處尋找潛在的空投機會，參與各種任務，盡可能提高自己被空投的可能性和數量。其中有些人也許是真心喜歡該項目，真心想參與，但也有些人並不關心項目，只想嚕到更多利益。對項目方而言，當然不希望被後面這種人大量的女巫攻擊搶走空投獎勵。

現在各種空投準備都必須要先設想預防女巫攻擊的辦法，以下分享三個實際案例。

 

女巫攻擊&防衛實例 #1 – Hop Bridge 透過社群舉報

跨鏈橋項目 Hop Protocol 在 2022 年 5 月發起空投，將 8% 的代幣供應 (8 千萬顆) 空投給早期使用者，空投條件例如達到一定交易量、提供流動性、持有債券、社群活躍參與等等，最初符合空投條件的地址大約有 43,000 個。

 

而後 Hop 項目方發起了社群舉報女巫的活動，成功舉報女巫地址，可以獲得其原定空投份額的 25% 作為獎勵，鼓勵大家幫忙揪出女巫。

 

後來總共有約 10,000 個地址被舉報並認定為女巫，取消了空投資格。從被判定的一些案例中，大概可以歸結出兩個判定女巫的標準：

 

• 錢包地址之間彼此有資金往來

• 這些錢包地址短時間內進行非常類似的操作

 

符合這種狀況的被判定可能背後是同樣的人，這些地址都是分身的女巫。區塊鏈的特性之一是公開透明，鏈上資訊都被公開紀錄可追蹤可檢視，項目方自己沒有足夠人力一個一個地址查核，於是透過獎勵社群舉報的方式讓眾人協力揪出女巫，效果顯著。

 

女巫攻擊&防衛實例 #2 - Gitcoin 推出 Gitcoin Passport  

Gitcoin 是以太坊上的群眾募資平台，有 Bounties（獎金）、Hackathons（黑客松）、Grants（眾籌贈款）、Codefund（程式開發基金）、Quests（任務）和社交屬性的 Kudos 等板塊供用戶瀏覽。

其中的 Gitcoin Grants，是 Gitcoin 的核心功能。用戶可以在 Gitcoin 網站上向不同的開源項目捐贈資金。大家曾使用過的 Metamask、Aave、Uniswap、ENS 等知名項目，也都曾經受過此組織的資助或者是幫忙以完善其自身發展。

用戶在 Gitcoin 網站上捐贈給不同的項目後，有些項目過一段時間可能會向捐贈者提供空投和獎勵，也就是我們所說的「回溯空投」（ Retroactive Airdrop），在此也特別強調：捐款不保證一定有空投，但從以往結果來看確實有許多項目方會回饋早期的捐款人，而且回報也是相當不錯的。

參與捐蹭需要份額，份額來自資格認定，Gitcoin 採用的方式是推出 Web 3 去中心化護照 Gitcoin Passport，使用這個護照來綁定許多 web 2 & 3 的服務，例如綁定社交媒體帳號 (Facebook、Twitter)、綁定 Google 帳號、Github 帳號、也綁定錢包地址等等，每綁定一個就得到一個印章 (Stamp)，印章可以做為特定活動的門檻，累積愈多印章也等於這個 Passport 擁有更高的積分，而積分足夠高才能擁有捐贈的份額。

要綁定非常多其他服務，有足夠多的印章才能有足夠的積分，想刷分身等於必須同時也開非常多其他服務的分身帳號，除此之外 Gitcoin Passport 還會定期更新印章狀態，實務上執行難度極高，透過此方式來預防女巫攻擊。

 

延伸閱讀：Gitcoin介紹｜去中心化眾籌平台，G15 開跑，手把手捐款 16 個推薦項目

 

女巫攻擊&防衛實例 #3－Debank 的 Web 3 ID 鑄造與徽章 (Badge)　

Debank 是一個非常實用的鏈上資產儀表板，我們可以在網站上輸入錢包地址後查看自身總資產在不同鏈、不同 DeFi 協議的分佈情形，還可以透過 Debank 找尋 DeFi 當中的獲利機會，同時如果透過錢包簽署登入，便可以使用更多功能，包含查看資產價格變化，社交互動、追蹤巨鯨錢包等功能，非常實用，可以說是炒幣不可或缺的神器。

DeBank 近期動作頻頻，推出了自家的 SocialFi 功能 Reward pool 之外，還預告明年要上線 DeBank 自己的區塊鏈，與現今火熱的 Base、Worldcoin 一樣是一條基於 OP Stack 建立的鏈，社群因此也有了發幣的預期和空投的想像，但基本上只要有錢包地址就能登入 DeBank，要創造分身帳號非常容易。

DeBank 前陣子發布了一項「有價值的 Web 3 用戶標準」，希望透過這樣的標準能將女巫地址、機器人地址等等都給排除掉，篩選出真正有價值的使用者。

標準有三項：

1. 錢包淨資產 > $1000 美金

2. 鑄造 Web 3 ID

3. TVF (Total Value of Followers) > 0

細看這三項標準，1 跟 3 都不難做到，創造一些分身地址後分別轉點幣進去，相互 follow 即可達標，其中真的能用來防女巫的應該是 2。

Web 3 ID 有點類似 DeBank 版本的藍勾勾，生成自己的 ID 之後可以開通更多功能，目前的鑄造門檻其實也不算高，花費 $96 美金即可鑄造，雖然這確實提高了女巫攻擊的成本，但 $96 美金並不算是實務上不可行的門檻。

在 Web 3 ID 之外，DeBank 還推出了另外一個東西：Badge 徽章，雖然這不在這次公布的「有價值的 Web 3 用戶標準」之中，但也許未來也會將這列入參考。目前能鑄造的 Badge 有這些：

都是需要達到一定的鏈上活動才能鑄造，例如地址存在天數 100 天、1000 天，總共花費過多少 Gas 費，曾經領過某項目的空投，而其中有些 Badge 的鑄造條件還需要先有 Web 3 ID。

 

延伸閱讀：3 分鐘學懂，最新 Debank 空投教學！同時分享如何簡單追蹤巨鯨去向，增加獲利機會

 

小結－DID 終將成為主流

總結來看，無論是 Gitcoin Passport，或是 Debank 的 Web 3 ID & Badge，都是在建立我們自己獨一無二的鏈上身分 (DID)，一旦大家都開始建立自己的 DID，項目方開始透過 DID 來認證使用者，女巫地址就無所遁形，發起女巫攻擊的難度只會愈來愈高。

延伸閱讀：

【什麼是 DID？去中心化身份的奧妙之處】DID 技術在 Web 3 有什麼用途？

Cyber Connect 明牌空投攻略 Cyber Trek、Fanclub 積分、Cyber Profile 任務教學

上線兩天收入超過50萬美金，Base 鏈發燒的去中心化社交應用 Friend.Tech 要怎麼玩？空投攻略I 新手教學