什麼是女巫攻擊？｜3案例分析！擼空投勿效法

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

什麼是女巫攻擊？｜3案例分析！擼空投勿效法

基礎知識

東東

・2023/08/29

本文重點：

女巫攻擊是透過創造大量虛假身分來操控網路的一種網路攻擊方式。

區塊鏈常見防女巫攻擊的作法是利用共識機制來提高節點門檻。

空投項目如果不防女巫攻擊，可能會造成獎勵都被少數人給拿走。

空投項目防女巫攻擊的做法有透過社群舉報、增加身分標章、DID 等。

女巫攻擊是什麼：分身操控空投結果

女巫攻擊是一種網路攻擊，透過創造大量虛假身分 (例如假帳號)，來試圖影響或操控網路的一種攻擊方式。

女巫攻擊常見於創造大量分身參與投票，影響投票結果；開一大堆分身帳號參與抽獎，提高自己被抽到的機率；在網路上用大量假帳號留下大量假評論、創造大量假互動 ... 等。

女巫攻擊英文原名 Sybil Attack，Sybil 是一名曾經被診斷為多重人格的女性，取多重人格中分身的概念，將這種創造大量分身試圖操控網路的行為稱為 Sybil Attack，而描述 Sybil 故事的小說與同名電影中文翻譯為女巫，是女巫攻擊這中文名稱的由來。

區塊鏈被女巫攻擊會怎樣？- 51% 攻擊的風險

區塊鏈是分散式的處理系統，透過大量節點來分散處理與存儲資訊，由節點們確認交易與打包出塊，若是去中心化運作的區塊鏈，還會透過投票來進行決策。

如果其實多數節點都是由同一個人創造的呢？這會導致看似分散的網路其實很集中，一來資料就沒有真的分散處理存儲，風險依然很高，二來是可以透過大量節點影響確認和出塊來操控區塊鏈網路運作，甚至進一步控制多數節點達到 51% 攻擊，或在投票中操控投票結果直接影響決策。

區塊鏈的運作仰賴大量節點，必須確保這些節點都是真實且不帶惡意的，才能保障區塊鏈的網路安全。

區塊鏈如何預防女巫攻擊：提高成本

基本的做法是：讓女巫攻擊在現實上變得不可能，提高女巫攻擊的實際成本，讓它變得不切實際。

透過共識機制就可以預防女巫攻擊，以常見的兩種 POW / POS 共識機制來說明：

POW 工作量證明如何防女巫攻擊

在 POW 機制下，節點們透過計算數學題目來取得打包出塊的資格，必須付出大量算力，而算力需要成本，比方說需要買大量顯示卡組礦機，成為節點的成本並不低，想要創造大量分身節點的成本極高，高到不切實際。

POS 權益證明如何防女巫攻擊

在 POS 機制下，節點們透過質押加密貨幣來取得打包出塊的資格，必須質押大量加密貨幣，而取得能質押的加密貨幣需要成本，項目方也會設定成為節點的基本門檻。

例如有些速度和效能較高的公鏈，對於節點的硬體設備需求很高；或例如以太坊，成為以太坊節點的最小質押數量為 32 顆以太幣，或也是前幾大質押公鏈的波卡 (Polkadot)，要成為波卡驗證人最小質押數量為 553 顆波卡，同時還有硬體設備上的需求。

有這些門檻的存在，實際上很難做到創造大量分身節點。

項目空投為什麼要防範女巫攻擊？一切都是成本考量

有些項目在發幣時，會獎勵早期使用者，空投代幣到符合資格的錢包地址中，但如果這些錢包地址其實都是同一個人？

也可能不是要獎勵早期使用者，而是基於行銷目的，類似餐廳打卡送小點心，空投某些獎勵到符合資格的錢包地址，但如果這些都是同一個人？

餐廳發很多張優惠券出去，或是針對會員給予感恩回饋，結果都是同一個人的分身去領走，這樣完全沒有達成餐廳原本的目的，沒有行銷到設定的對象，沒有回饋到真正的會員，優惠與獎勵只是被特定人士占走了便宜。

女巫攻擊及實例3項分析

如果要空投的項目不防女巫，被特定人士大舉刷單刷量刷身分，空投獎勵出去其實都只投給同一小群人，項目方並沒有真的達到獎勵早期使用者或者行銷的目的，只是被特定人士給占了便宜。

幣圈中有些人專門嚕空投，四處尋找潛在的空投機會，參與各種任務，盡可能提高自己被空投的可能性和數量。其中有些人也許是真心喜歡該項目，真心想參與，但也有些人並不關心項目，只想嚕到更多利益。對項目方而言，當然不希望被後面這種人大量的女巫攻擊搶走空投獎勵。

現在各種空投準備都必須要先設想預防女巫攻擊的辦法，以下分享三個實際案例。

女巫攻擊&防衛實例 #1 – Hop Bridge 透過社群舉報

Hop Bridge 透過社群舉報

跨鏈橋項目 Hop Protocol 在 2022 年 5 月發起空投，將 8% 的代幣供應 (8 千萬顆) 空投給早期使用者，空投條件例如達到一定交易量、提供流動性、持有債券、社群活躍參與等等，最初符合空投條件的地址大約有 43,000 個。

而後 Hop 項目方發起了社群舉報女巫的活動，成功舉報女巫地址，可以獲得其原定空投份額的 25% 作為獎勵，鼓勵大家幫忙揪出女巫。

後來總共有約 10,000 個地址被舉報並認定為女巫，取消了空投資格。從被判定的一些案例中，大概可以歸結出兩個判定女巫的標準：

錢包地址之間彼此有資金往來
這些錢包地址短時間內進行非常類似的操作

符合這種狀況的被判定可能背後是同樣的人，這些地址都是分身的女巫。區塊鏈的特性之一是公開透明，鏈上資訊都被公開紀錄可追蹤可檢視，項目方自己沒有足夠人力一個一個地址查核，於是透過獎勵社群舉報的方式讓眾人協力揪出女巫，效果顯著。

女巫攻擊&防衛實例 #2 - Gitcoin 推出 Gitcoin Passport

Gitcoin Passport

Gitcoin 是以太坊上的群眾募資平台，有 Bounties（獎金）、Hackathons（黑客松）、Grants（眾籌贈款）、Codefund（程式開發基金）、Quests（任務）和社交屬性的 Kudos 等板塊供用戶瀏覽。

其中的 Gitcoin Grants，是 Gitcoin 的核心功能。用戶可以在 Gitcoin 網站上向不同的開源項目捐贈資金。大家曾使用過的 Metamask、Aave、Uniswap、ENS 等知名項目，也都曾經受過此組織的資助或者是幫忙以完善其自身發展。

用戶在 Gitcoin 網站上捐贈給不同的項目後，有些項目過一段時間可能會向捐贈者提供空投和獎勵，也就是我們所說的「回溯空投」（ Retroactive Airdrop），在此也特別強調：捐款不保證一定有空投，但從以往結果來看確實有許多項目方會回饋早期的捐款人，而且回報也是相當不錯的。

參與捐蹭需要份額，份額來自資格認定，Gitcoin 採用的方式是推出 Web 3 去中心化護照 Gitcoin Passport，使用這個護照來綁定許多 web 2 & 3 的服務，例如綁定社交媒體帳號 (Facebook、Twitter)、綁定 Google 帳號、Github 帳號、也綁定錢包地址等等，每綁定一個就得到一個印章 (Stamp)，印章可以做為特定活動的門檻，累積愈多印章也等於這個 Passport 擁有更高的積分，而積分足夠高才能擁有捐贈的份額。

要綁定非常多其他服務，有足夠多的印章才能有足夠的積分，想刷分身等於必須同時也開非常多其他服務的分身帳號，除此之外 Gitcoin Passport 還會定期更新印章狀態，實務上執行難度極高，透過此方式來預防女巫攻擊。

延伸閱讀：Gitcoin介紹｜去中心化眾籌平台，G15 開跑，手把手捐款 16 個推薦項目

女巫攻擊&防衛實例 #3－Debank 的 Web 3 ID 鑄造與徽章 (Badge)　

Debank 的 Web 3 ID 鑄造與徽章

Debank 是一個非常實用的鏈上資產儀表板，我們可以在網站上輸入錢包地址後查看自身總資產在不同鏈、不同 DeFi 協議的分佈情形，還可以透過 Debank 找尋 DeFi 當中的獲利機會，同時如果透過錢包簽署登入，便可以使用更多功能，包含查看資產價格變化，社交互動、追蹤巨鯨錢包等功能，非常實用，可以說是炒幣不可或缺的神器。

DeBank 近期動作頻頻，推出了自家的 SocialFi 功能 Reward pool 之外，還預告明年要上線 DeBank 自己的區塊鏈，與現今火熱的 Base、Worldcoin 一樣是一條基於 OP Stack 建立的鏈，社群因此也有了發幣的預期和空投的想像，但基本上只要有錢包地址就能登入 DeBank，要創造分身帳號非常容易。

DeBank 前陣子發布了一項「有價值的 Web 3 用戶標準」，希望透過這樣的標準能將女巫地址、機器人地址等等都給排除掉，篩選出真正有價值的使用者。

標準有三項：