logo

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

最新活動

幣安

web3 community

加入每日幣研 Telegram 群組,即時掌握幣圈最新資訊

HOT ARTICLES

熱門文章

    什麼是女巫攻擊?|3案例分析!擼空投勿效法

    東東

    2023/08/29

    本文重點:

    女巫攻擊是透過創造大量虛假身分來操控網路的一種網路攻擊方式。

    區塊鏈常見防女巫攻擊的作法是利用共識機制來提高節點門檻。

    空投項目如果不防女巫攻擊,可能會造成獎勵都被少數人給拿走。

    空投項目防女巫攻擊的做法有透過社群舉報、增加身分標章、DID 等。


    女巫攻擊是什麼:分身操控空投結果

    女巫攻擊是一種網路攻擊,透過創造大量虛假身分 (例如假帳號),來試圖影響或操控網路的一種攻擊方式。

    女巫攻擊常見於創造大量分身參與投票,影響投票結果;開一大堆分身帳號參與抽獎,提高自己被抽到的機率;在網路上用大量假帳號留下大量假評論、創造大量假互動 ... 等。


    女巫攻擊英文原名 Sybil Attack,Sybil 是一名曾經被診斷為多重人格的女性,取多重人格中分身的概念,將這種創造大量分身試圖操控網路的行為稱為 Sybil Attack,而描述 Sybil 故事的小說與同名電影中文翻譯為女巫,是女巫攻擊這中文名稱的由來。


    區塊鏈被女巫攻擊會怎樣?- 51% 攻擊的風險

    區塊鏈是分散式的處理系統,透過大量節點來分散處理與存儲資訊,由節點們確認交易與打包出塊,若是去中心化運作的區塊鏈,還會透過投票來進行決策。

    如果其實多數節點都是由同一個人創造的呢?這會導致看似分散的網路其實很集中,一來資料就沒有真的分散處理存儲,風險依然很高,二來是可以透過大量節點影響確認和出塊來操控區塊鏈網路運作,甚至進一步控制多數節點達到 51% 攻擊,或在投票中操控投票結果直接影響決策。

    區塊鏈的運作仰賴大量節點,必須確保這些節點都是真實且不帶惡意的,才能保障區塊鏈的網路安全。


    區塊鏈如何預防女巫攻擊:提高成本

    基本的做法是:讓女巫攻擊在現實上變得不可能,提高女巫攻擊的實際成本,讓它變得不切實際。

    透過共識機制就可以預防女巫攻擊,以常見的兩種 POW / POS 共識機制來說明:

    POW 工作量證明如何防女巫攻擊

    在 POW 機制下,節點們透過計算數學題目來取得打包出塊的資格,必須付出大量算力,而算力需要成本,比方說需要買大量顯示卡組礦機,成為節點的成本並不低,想要創造大量分身節點的成本極高,高到不切實際。


    POS 權益證明如何防女巫攻擊

    在 POS 機制下,節點們透過質押加密貨幣來取得打包出塊的資格,必須質押大量加密貨幣,而取得能質押的加密貨幣需要成本,項目方也會設定成為節點的基本門檻。

    例如有些速度和效能較高的公鏈,對於節點的硬體設備需求很高;或例如以太坊,成為以太坊節點的最小質押數量為 32 顆以太幣,或也是前幾大質押公鏈的波卡 (Polkadot),要成為波卡驗證人最小質押數量為 553 顆波卡,同時還有硬體設備上的需求。

    有這些門檻的存在,實際上很難做到創造大量分身節點。


    項目空投為什麼要防範女巫攻擊?一切都是成本考量

    有些項目在發幣時,會獎勵早期使用者,空投代幣到符合資格的錢包地址中,但如果這些錢包地址其實都是同一個人?

    也可能不是要獎勵早期使用者,而是基於行銷目的,類似餐廳打卡送小點心,空投某些獎勵到符合資格的錢包地址,但如果這些都是同一個人?

    餐廳發很多張優惠券出去,或是針對會員給予感恩回饋,結果都是同一個人的分身去領走,這樣完全沒有達成餐廳原本的目的,沒有行銷到設定的對象,沒有回饋到真正的會員,優惠與獎勵只是被特定人士占走了便宜。


    女巫攻擊及實例3項分析

    如果要空投的項目不防女巫,被特定人士大舉刷單刷量刷身分,空投獎勵出去其實都只投給同一小群人,項目方並沒有真的達到獎勵早期使用者 或者 行銷的目的,只是被特定人士給占了便宜。

    幣圈中有些人專門嚕空投,四處尋找潛在的空投機會,參與各種任務,盡可能提高自己被空投的可能性和數量。其中有些人也許是真心喜歡該項目,真心想參與,但也有些人並不關心項目,只想嚕到更多利益。對項目方而言,當然不希望被後面這種人大量的女巫攻擊搶走空投獎勵。

    現在各種空投準備都必須要先設想預防女巫攻擊的辦法,以下分享三個實際案例。


    女巫攻擊&防衛實例 #1 – Hop Bridge 透過社群舉報

    Hop Bridge 透過社群舉報

    跨鏈橋項目 Hop Protocol 在 2022 年 5 月發起空投,將 8% 的代幣供應 (8 千萬顆) 空投給早期使用者,空投條件例如達到一定交易量、提供流動性、持有債券、社群活躍參與等等,最初符合空投條件的地址大約有 43,000 個。


    而後 Hop 項目方發起了社群舉報女巫的活動,成功舉報女巫地址,可以獲得其原定空投份額的 25% 作為獎勵,鼓勵大家幫忙揪出女巫。


    後來總共有約 10,000 個地址被舉報並認定為女巫,取消了空投資格。從被判定的一些案例中,大概可以歸結出兩個判定女巫的標準:


    • 錢包地址之間彼此有資金往來

    • 這些錢包地址短時間內進行非常類似的操作


    符合這種狀況的被判定可能背後是同樣的人,這些地址都是分身的女巫。區塊鏈的特性之一是公開透明,鏈上資訊都被公開紀錄可追蹤可檢視,項目方自己沒有足夠人力一個一個地址查核,於是透過獎勵社群舉報的方式讓眾人協力揪出女巫,效果顯著。


    女巫攻擊&防衛實例 #2 - Gitcoin 推出 Gitcoin Passport  

    Gitcoin Passport  

    Gitcoin 是以太坊上的群眾募資平台,有 Bounties(獎金)、Hackathons(黑客松)、Grants(眾籌贈款)、Codefund(程式開發基金)、Quests(任務)和社交屬性的 Kudos 等板塊供用戶瀏覽。

    其中的 Gitcoin Grants,是 Gitcoin 的核心功能。用戶可以在 Gitcoin 網站上向不同的開源項目捐贈資金。大家曾使用過的 Metamask、Aave、Uniswap、ENS 等知名項目,也都曾經受過此組織的資助或者是幫忙以完善其自身發展。

    用戶在 Gitcoin 網站上捐贈給不同的項目後,有些項目過一段時間可能會向捐贈者提供空投和獎勵,也就是我們所說的「回溯空投」( Retroactive Airdrop),在此也特別強調:捐款不保證一定有空投,但從以往結果來看確實有許多項目方會回饋早期的捐款人,而且回報也是相當不錯的。

    參與捐蹭需要份額,份額來自資格認定,Gitcoin 採用的方式是推出 Web 3 去中心化護照 Gitcoin Passport,使用這個護照來綁定許多 web 2 & 3 的服務,例如綁定社交媒體帳號 (Facebook、Twitter)、綁定 Google 帳號、Github 帳號、也綁定錢包地址等等,每綁定一個就得到一個印章 (Stamp),印章可以做為特定活動的門檻,累積愈多印章也等於這個 Passport 擁有更高的積分,而積分足夠高才能擁有捐贈的份額。

    要綁定非常多其他服務,有足夠多的印章才能有足夠的積分,想刷分身等於必須同時也開非常多其他服務的分身帳號,除此之外 Gitcoin Passport 還會定期更新印章狀態,實務上執行難度極高,透過此方式來預防女巫攻擊。


    延伸閱讀:Gitcoin介紹|去中心化眾籌平台,G15 開跑,手把手捐款 16 個推薦項目


    女巫攻擊&防衛實例 #3-Debank 的 Web 3 ID 鑄造與徽章 (Badge) 

    Debank 的 Web 3 ID 鑄造與徽章

    Debank 是一個非常實用的鏈上資產儀表板,我們可以在網站上輸入錢包地址後查看自身總資產在不同鏈、不同 DeFi 協議的分佈情形,還可以透過 Debank 找尋 DeFi 當中的獲利機會,同時如果透過錢包簽署登入,便可以使用更多功能,包含查看資產價格變化,社交互動、追蹤巨鯨錢包等功能,非常實用,可以說是炒幣不可或缺的神器。

    DeBank 近期動作頻頻,推出了自家的 SocialFi 功能 Reward pool 之外,還預告明年要上線 DeBank 自己的區塊鏈,與現今火熱的 Base、Worldcoin 一樣是一條基於 OP Stack 建立的鏈,社群因此也有了發幣的預期和空投的想像,但基本上只要有錢包地址就能登入 DeBank,要創造分身帳號非常容易。

    DeBank 前陣子發布了一項「有價值的 Web 3 用戶標準」,希望透過這樣的標準能將女巫地址、機器人地址等等都給排除掉,篩選出真正有價值的使用者。

    標準有三項:

    1. 錢包淨資產 > $1000 美金

    2. 鑄造 Web 3 ID

    3. TVF (Total Value of Followers) > 0

    細看這三項標準,1 跟 3 都不難做到,創造一些分身地址後分別轉點幣進去,相互 follow 即可達標,其中真的能用來防女巫的應該是 2。

    Web 3 ID 有點類似 DeBank 版本的藍勾勾,生成自己的 ID 之後可以開通更多功能,目前的鑄造門檻其實也不算高,花費 $96 美金即可鑄造,雖然這確實提高了女巫攻擊的成本,但 $96 美金並不算是實務上不可行的門檻。

    在 Web 3 ID 之外,DeBank 還推出了另外一個東西:Badge 徽章,雖然這不在這次公布的「有價值的 Web 3 用戶標準」之中,但也許未來也會將這列入參考。目前能鑄造的 Badge 有這些:

    Badge 徽章

    都是需要達到一定的鏈上活動才能鑄造,例如地址存在天數 100 天、1000 天,總共花費過多少 Gas 費,曾經領過某項目的空投,而其中有些 Badge 的鑄造條件還需要先有 Web 3 ID。


    延伸閱讀:3 分鐘學懂,最新 Debank 空投教學!同時分享如何簡單追蹤巨鯨去向,增加獲利機會


    小結-DID 終將成為主流

    總結來看,無論是 Gitcoin Passport,或是 Debank 的 Web 3 ID & Badge,都是在建立我們自己獨一無二的鏈上身分 (DID),一旦大家都開始建立自己的 DID,項目方開始透過 DID 來認證使用者,女巫地址就無所遁形,發起女巫攻擊的難度只會愈來愈高。



    延伸閱讀:

    【什麼是 DID?去中心化身份的奧妙之處】DID 技術在 Web 3 有什麼用途?

    Cyber Connect 明牌空投攻略 Cyber Trek、Fanclub 積分、Cyber Profile 任務教學

    上線兩天收入超過50萬美金,Base 鏈發燒的去中心化社交應用 Friend.Tech 要怎麼玩?空投攻略I 新手教學

    東東

    加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。

    本文重點:

    每日幣研 市場週報

    每週兩則電子報,全方位從總體經濟、鏈上數據、融資近況、項目動向快速解讀加密貨幣市場

    訂閱週報

    logo

    首頁

    全部文章關於我們聯絡我們網站聲明 隱私權政策

    HK

    TW

    ©台灣每日幣研版權所有