logo

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

最新活動

OKX

幣安

web3 community

加入每日幣研 Telegram 群組,即時掌握幣圈最新資訊

HOT ARTICLES

熱門文章

    Featured Articles

    專題精選

    PolitiFi
    BTC
    Meme 迷因幣
    AI
    DeFi
    DePIN

      什麼是女巫攻擊?|3案例分析!擼空投勿效法

      東東

      2023/08/29

      本文重點:

      女巫攻擊是透過創造大量虛假身分來操控網路的一種網路攻擊方式。

      區塊鏈常見防女巫攻擊的作法是利用共識機制來提高節點門檻。

      空投項目如果不防女巫攻擊,可能會造成獎勵都被少數人給拿走。

      空投項目防女巫攻擊的做法有透過社群舉報、增加身分標章、DID 等。

       

      女巫攻擊是什麼:分身操控空投結果

      女巫攻擊是一種網路攻擊,透過創造大量虛假身分 (例如假帳號),來試圖影響或操控網路的一種攻擊方式。

      女巫攻擊常見於創造大量分身參與投票,影響投票結果;開一大堆分身帳號參與抽獎,提高自己被抽到的機率;在網路上用大量假帳號留下大量假評論、創造大量假互動 ... 等。

       

      女巫攻擊英文原名 Sybil Attack,Sybil 是一名曾經被診斷為多重人格的女性,取多重人格中分身的概念,將這種創造大量分身試圖操控網路的行為稱為 Sybil Attack,而描述 Sybil 故事的小說與同名電影中文翻譯為女巫,是女巫攻擊這中文名稱的由來。

       

      區塊鏈被女巫攻擊會怎樣?- 51% 攻擊的風險

      區塊鏈是分散式的處理系統,透過大量節點來分散處理與存儲資訊,由節點們確認交易與打包出塊,若是去中心化運作的區塊鏈,還會透過投票來進行決策。

      如果其實多數節點都是由同一個人創造的呢?這會導致看似分散的網路其實很集中,一來資料就沒有真的分散處理存儲,風險依然很高,二來是可以透過大量節點影響確認和出塊來操控區塊鏈網路運作,甚至進一步控制多數節點達到 51% 攻擊,或在投票中操控投票結果直接影響決策。

      區塊鏈的運作仰賴大量節點,必須確保這些節點都是真實且不帶惡意的,才能保障區塊鏈的網路安全。

       

      區塊鏈如何預防女巫攻擊:提高成本

      基本的做法是:讓女巫攻擊在現實上變得不可能,提高女巫攻擊的實際成本,讓它變得不切實際。

      透過共識機制就可以預防女巫攻擊,以常見的兩種 POW / POS 共識機制來說明:

      POW 工作量證明如何防女巫攻擊

      在 POW 機制下,節點們透過計算數學題目來取得打包出塊的資格,必須付出大量算力,而算力需要成本,比方說需要買大量顯示卡組礦機,成為節點的成本並不低,想要創造大量分身節點的成本極高,高到不切實際。

       

      POS 權益證明如何防女巫攻擊

      在 POS 機制下,節點們透過質押加密貨幣來取得打包出塊的資格,必須質押大量加密貨幣,而取得能質押的加密貨幣需要成本,項目方也會設定成為節點的基本門檻。

      例如有些速度和效能較高的公鏈,對於節點的硬體設備需求很高;或例如以太坊,成為以太坊節點的最小質押數量為 32 顆以太幣,或也是前幾大質押公鏈的波卡 (Polkadot),要成為波卡驗證人最小質押數量為 553 顆波卡,同時還有硬體設備上的需求。

      有這些門檻的存在,實際上很難做到創造大量分身節點。

       

      項目空投為什麼要防範女巫攻擊?一切都是成本考量

      有些項目在發幣時,會獎勵早期使用者,空投代幣到符合資格的錢包地址中,但如果這些錢包地址其實都是同一個人?

      也可能不是要獎勵早期使用者,而是基於行銷目的,類似餐廳打卡送小點心,空投某些獎勵到符合資格的錢包地址,但如果這些都是同一個人?

      餐廳發很多張優惠券出去,或是針對會員給予感恩回饋,結果都是同一個人的分身去領走,這樣完全沒有達成餐廳原本的目的,沒有行銷到設定的對象,沒有回饋到真正的會員,優惠與獎勵只是被特定人士占走了便宜。

       

      女巫攻擊及實例3項分析

      如果要空投的項目不防女巫,被特定人士大舉刷單刷量刷身分,空投獎勵出去其實都只投給同一小群人,項目方並沒有真的達到獎勵早期使用者 或者 行銷的目的,只是被特定人士給占了便宜。

      幣圈中有些人專門嚕空投,四處尋找潛在的空投機會,參與各種任務,盡可能提高自己被空投的可能性和數量。其中有些人也許是真心喜歡該項目,真心想參與,但也有些人並不關心項目,只想嚕到更多利益。對項目方而言,當然不希望被後面這種人大量的女巫攻擊搶走空投獎勵。

      現在各種空投準備都必須要先設想預防女巫攻擊的辦法,以下分享三個實際案例。

       

      女巫攻擊&防衛實例 #1 – Hop Bridge 透過社群舉報

      Hop Bridge 透過社群舉報

      跨鏈橋項目 Hop Protocol 在 2022 年 5 月發起空投,將 8% 的代幣供應 (8 千萬顆) 空投給早期使用者,空投條件例如達到一定交易量、提供流動性、持有債券、社群活躍參與等等,最初符合空投條件的地址大約有 43,000 個。

       

      而後 Hop 項目方發起了社群舉報女巫的活動,成功舉報女巫地址,可以獲得其原定空投份額的 25% 作為獎勵,鼓勵大家幫忙揪出女巫。

       

      後來總共有約 10,000 個地址被舉報並認定為女巫,取消了空投資格。從被判定的一些案例中,大概可以歸結出兩個判定女巫的標準:

       

      • 錢包地址之間彼此有資金往來

      • 這些錢包地址短時間內進行非常類似的操作

       

      符合這種狀況的被判定可能背後是同樣的人,這些地址都是分身的女巫。區塊鏈的特性之一是公開透明,鏈上資訊都被公開紀錄可追蹤可檢視,項目方自己沒有足夠人力一個一個地址查核,於是透過獎勵社群舉報的方式讓眾人協力揪出女巫,效果顯著。

       

      女巫攻擊&防衛實例 #2 - Gitcoin 推出 Gitcoin Passport  

      Gitcoin Passport  

      Gitcoin 是以太坊上的群眾募資平台,有 Bounties(獎金)、Hackathons(黑客松)、Grants(眾籌贈款)、Codefund(程式開發基金)、Quests(任務)和社交屬性的 Kudos 等板塊供用戶瀏覽。

      其中的 Gitcoin Grants,是 Gitcoin 的核心功能。用戶可以在 Gitcoin 網站上向不同的開源項目捐贈資金。大家曾使用過的 Metamask、Aave、Uniswap、ENS 等知名項目,也都曾經受過此組織的資助或者是幫忙以完善其自身發展。

      用戶在 Gitcoin 網站上捐贈給不同的項目後,有些項目過一段時間可能會向捐贈者提供空投和獎勵,也就是我們所說的「回溯空投」( Retroactive Airdrop),在此也特別強調:捐款不保證一定有空投,但從以往結果來看確實有許多項目方會回饋早期的捐款人,而且回報也是相當不錯的。

      參與捐蹭需要份額,份額來自資格認定,Gitcoin 採用的方式是推出 Web 3 去中心化護照 Gitcoin Passport,使用這個護照來綁定許多 web 2 & 3 的服務,例如綁定社交媒體帳號 (Facebook、Twitter)、綁定 Google 帳號、Github 帳號、也綁定錢包地址等等,每綁定一個就得到一個印章 (Stamp),印章可以做為特定活動的門檻,累積愈多印章也等於這個 Passport 擁有更高的積分,而積分足夠高才能擁有捐贈的份額。

      要綁定非常多其他服務,有足夠多的印章才能有足夠的積分,想刷分身等於必須同時也開非常多其他服務的分身帳號,除此之外 Gitcoin Passport 還會定期更新印章狀態,實務上執行難度極高,透過此方式來預防女巫攻擊。

       

      延伸閱讀:Gitcoin介紹|去中心化眾籌平台,G15 開跑,手把手捐款 16 個推薦項目

       

      女巫攻擊&防衛實例 #3-Debank 的 Web 3 ID 鑄造與徽章 (Badge) 

      Debank 的 Web 3 ID 鑄造與徽章

      Debank 是一個非常實用的鏈上資產儀表板,我們可以在網站上輸入錢包地址後查看自身總資產在不同鏈、不同 DeFi 協議的分佈情形,還可以透過 Debank 找尋 DeFi 當中的獲利機會,同時如果透過錢包簽署登入,便可以使用更多功能,包含查看資產價格變化,社交互動、追蹤巨鯨錢包等功能,非常實用,可以說是炒幣不可或缺的神器。

      DeBank 近期動作頻頻,推出了自家的 SocialFi 功能 Reward pool 之外,還預告明年要上線 DeBank 自己的區塊鏈,與現今火熱的 Base、Worldcoin 一樣是一條基於 OP Stack 建立的鏈,社群因此也有了發幣的預期和空投的想像,但基本上只要有錢包地址就能登入 DeBank,要創造分身帳號非常容易。

      DeBank 前陣子發布了一項「有價值的 Web 3 用戶標準」,希望透過這樣的標準能將女巫地址、機器人地址等等都給排除掉,篩選出真正有價值的使用者。

      標準有三項:

      1. 錢包淨資產 > $1000 美金

      2. 鑄造 Web 3 ID

      3. TVF (Total Value of Followers) > 0

      細看這三項標準,1 跟 3 都不難做到,創造一些分身地址後分別轉點幣進去,相互 follow 即可達標,其中真的能用來防女巫的應該是 2。

      Web 3 ID 有點類似 DeBank 版本的藍勾勾,生成自己的 ID 之後可以開通更多功能,目前的鑄造門檻其實也不算高,花費 $96 美金即可鑄造,雖然這確實提高了女巫攻擊的成本,但 $96 美金並不算是實務上不可行的門檻。

      在 Web 3 ID 之外,DeBank 還推出了另外一個東西:Badge 徽章,雖然這不在這次公布的「有價值的 Web 3 用戶標準」之中,但也許未來也會將這列入參考。目前能鑄造的 Badge 有這些:

      Badge 徽章

      都是需要達到一定的鏈上活動才能鑄造,例如地址存在天數 100 天、1000 天,總共花費過多少 Gas 費,曾經領過某項目的空投,而其中有些 Badge 的鑄造條件還需要先有 Web 3 ID。

       

      延伸閱讀:3 分鐘學懂,最新 Debank 空投教學!同時分享如何簡單追蹤巨鯨去向,增加獲利機會

       

      小結-DID 終將成為主流

      總結來看,無論是 Gitcoin Passport,或是 Debank 的 Web 3 ID & Badge,都是在建立我們自己獨一無二的鏈上身分 (DID),一旦大家都開始建立自己的 DID,項目方開始透過 DID 來認證使用者,女巫地址就無所遁形,發起女巫攻擊的難度只會愈來愈高。



      延伸閱讀:

      【什麼是 DID?去中心化身份的奧妙之處】DID 技術在 Web 3 有什麼用途?

      Cyber Connect 明牌空投攻略 Cyber Trek、Fanclub 積分、Cyber Profile 任務教學

      上線兩天收入超過50萬美金,Base 鏈發燒的去中心化社交應用 Friend.Tech 要怎麼玩?空投攻略I 新手教學




      「以上文章內容並不代表每日幣研立場」

      東東

      加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。

      RECOMMENDED ARTICLES

      推薦文章

      bitcoin-bull-market-decline-analysis

      #

      BTC

      #

      總體經濟

      #

      時事觀點

      #

      基礎知識

      過去每輪牛市都曾大跌! 過往牛市回撤數據與反彈幅度分析

      本文重點:

      每日幣研 市場週報

      每週兩則電子報,全方位從總體經濟、鏈上數據、融資近況、項目動向快速解讀加密貨幣市場

      訂閱週報

      logo

      首頁

      全部文章關於我們聯絡我們網站聲明 隱私權政策

      HK

      TW

      ©台灣每日幣研版權所有