原文作者:Gitcoin 首席运营官 Kyle Weiss 译者:Odaily 星球日报 Azuma
女巫攻击(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题,它破坏了去中心化网络的信任度和完整性。
去中心化机制依赖于一个「唯一身份假设」而运作——每个参与者在网络上都拥有一个独立的身份,且不同身份之间有着平等的声音——然而,当单个用户通过女巫攻击创建了多个虚假身份并操纵系统时,这一假设就不再成立了。
通过女巫攻击,一名用户可以创建多个虚假地址,继而获得远超过单个地址的空投奖励。这种行为扭曲了奖励的分配比例,破坏了原本的空投计划,而该计划本该起到激励真实用户的作用。
Gitcoin 的二次匹配机制和投票机制也依赖于上文的「唯一身份假设」而运作,如果不对女巫攻击加以抵御,选票和资金或将不成比例地被分配给那些意料之外的虚假身份,从而削减了优质参与者本该获得的选票和资金。
声音 | 陈纯:除了研究区块链技术本身外 还需要研究如何监管:1月12日,中国工程院院士陈纯在CCF通讯刊文《联盟区块链关键技术与区块链的监管挑战》,文中提到,区块链作为重要的底层基础设施,在其快速发展的过程中,我们要高度重视安全问题。因此,我们除了研究区块链技术本身外,还需要研究区块链如何监管。公有链已经成为新媒体的传播媒介,因为公有链本身具有去中心化、不可篡改、不可删除、低成本的特点。利用区块链去传播有害信息、网络谣言、煽动性与攻击性信息,会给区块链技术的产业布局和发展带来不利影响,同时给监管部门带来很大的挑战。[2020/1/13]
本文介绍了一个全新的概念和策略——「造假成本」(Cost of Forgery)。这一概念考虑到了攻击者创造虚假身份时所需要的成本、时间和精力,通过实施该概念,可以放大攻击者的成本,并使正常用户的成本保持在较低水平。如此一来,项目方便可以利用该概念来限制女巫攻击行为。
女巫攻击的类型非常复杂,发起者可能是“科学家”、犯罪组织甚至某个民族国家,动机则可能是利益、娱乐或者纯纯的恶意。这些对手可能会尝试截然不同的攻击策略,比如身份盗窃、IP 操纵、僵尸网络、社会工程攻击、胁迫串通等等,遏制这些攻击的策略各不相同,我们需要的是一个全面的、反脆弱的抵御方法。
声音 | 日本金融厅长官:针对区块链等分布式金融系统,如何确保公众利益已成为新课题:据日经新闻消息,今日在日本福冈举行的G20峰会上,日本金融厅长官远藤俊英发表演讲指出“监管规则可能抑制创新,监管规则也会跟不上技术变革”。此外,以区块链技术为首的分布式金融系统在没有金融机构充当中介的情况下,可能实现顾客和市场参与者之间的直接交易,因此金融机构的地位存在下降的可能性,在这种情况下,如何确保公众利益已成为新的课题。[2019/6/8]
在我看来,最重要的一件事是需要做到“让攻击成本高于防御成本”,这意味着对系统发动一次成功攻击的成本应该高于对此类攻击进行有效防御的成本。通过从经济效益上抑制攻击者,系统可以更有弹性地应对女巫攻击以及其他类型的欺诈。
抵御女巫攻击的共识要求每个身份都是独立且唯一的。当前,已有一些协议做到了在保证自我主权(在没有中心化第三方参与的情况下创建和控制身份)和隐私(在不泄露个人信息的情况下获取和利用身份)的同时,实现了对女巫攻击的抵御,这三个维度(抵御女巫攻击、保护自我主权、保护隐私)正是去中心化身份所面临的三难困境。
金色财经独家整理 贸易战对比特币走势影响如何?贸易战避险,比特币“效果不错”:
今日凌晨,中美史上最大贸易战打响,全球股市重挫,数字资产比特币走势如何再被讨论。重温早在3月2日Brian Kelly在CNBC的关于贸易战的言论:贸易战将加强美元贬值、物价上涨的预期,由于普遍担忧通胀,人们愿意投资比特币这样的“新黄金”、 “硬资产”(避险),“在贸易战中,比特币效果不错”。
Brian Kelly的观点发表于300亿美元贸易战规模预测下,而今600万“变本加厉”。中国已于今晨展开“反击”,外媒也普遍预测美国为长期输家。股市下跌将支撑黄金,金价在昨日由于加息和贸易战担忧下收于两周最高点,而比特币为何反而下跌?据CNBC称:比特币未守住9000美元关口或因日本对加密数字货币加强监管力度的政策可能。金色财经认为,由于政策目前仍为影响比特币的主要因素,在最晚今年7月份国际监管措施出台、政策逐步趋稳后,数字货币价格将逐渐与黄金涨跌保持相似的变动。[2018/3/23]
为了解决女巫攻击挑战并建立一个可靠的身份识别系统,在构建女巫攻击抵御系统时需要考虑到安全性、效率、可扩展性等三个因素之间的平衡。虽然更高的安全性可以实现更好的抵御效果,但这却会限制系统的效率和可扩展性,反之优先考虑效率和可扩展性也可能会导致更弱的抵御效果,因此,能否在这些不同因素间找到最佳平衡对于能够构建一个可抵御女巫攻击的去中心化身份系统而言至关重要。这也是为什么,解决女巫攻击问题没有单一的答案,而是会存在多种方法。
在美国众议院听证会乔治城大学法学教授表示:监管的重点应该在于数字代币如何被对待:在美国众议院金融服务委员会《检查加密货币和ICO市场》的听证会上,乔治城大学法学教授Chris Brummer博士表示,ICO将会成为区块链行业的主要融资方式,但监管的重点应该在于数字代币如何被对待,以及系统如何被监管。他还表示,许多ICO欺诈非常明显,需要监管机构介入,更新法律法规,并且提供ICO白皮书指导。[2018/3/14]
在 Gitcoin Passport(Gitcoin 开发的链上身份凭证系统)中,团队使用了两种机制来评估用户的独立身份:Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成就(比如是否已验证 Twitter 或 Google 账户,是否持有 GTC 或 ETH,是否曾参加过 Gitcoin Grants)分配权重,进而 Passport 计算持有者的综合分数。分数可以决定 Passport 持有者是否可解锁某些权利、功能或其他好处。比如,想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格,捐赠者的综合分数至少要达到 15 以上。
美国证券交易所:加密货币交易所没有透露是否对一些用户提供了优先服务 以及平台如何挑选加密货币:据华尔街日报,美国证券交易所今天发布了有关加密货币交易所存在不规范问题的公告。SEC在公告中表明,加密货币交易所存在非法运营的风险,这是因为他们没有透露如何优先考虑投资者的订单或如何选择在其平台交易何种加密货币。前SEC官员,现任由投资者支持的健康市场协会的执行董事Tyler Gellasch透露:“SEC不仅要管理产品,还要管理他们交易和交易的地点。”SEC没有在其声明中提及具体的加密货币交易所,但提醒投资者,监管机构对交易所的实际运作方式知之甚少,不知道它们是否为其中一些交易者提供了优先于其他交易者的服务。SEC表示,虽然其中一些平台声称采用严格的标准来挑选高质量的加密货币资产进行交易,但SEC并没有审查过这些标准。[2018/3/8]
在下一阶段的发展中,Gitcoin Passport 团队正在探索将「造假成本」概念作为另一种机制来帮助项目设计其女巫防御系统。「造假成本」 提供了一些设计选择,比如利用易于理解的指标来安全地分发空投。
「造假成本」概念本质上是一种让攻击者伪造身份变得更加昂贵的策略,其关键点在于将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过提高造假的成本,攻击者不太可能从事欺诈行为,从而提高了系统的安全性。
如果说「造假成本」的主要策略就是拉高攻击者的成本,同时使普通用户的成本保持在较低水平,那么我们需要做的就是创建一种攻击比防御更昂贵的系统。以下是目前构建抵御女巫攻击的四种主要方法:
1. 基于政府签发的身份证明(驾照、护照、身份证等)验证;
2. 基于生物特征信息(面部扫描、指纹或视网膜扫描等)验证;
3. 当面(会议、聚会等)验证;
4. 基于社会/信任网络(Web2 账户、Web3 账户、NFT、ENS 等)验证。
在未来版本的 Gitcoin Passport 中,我们将根据这四个办法对不同的行为进行分类验证,以确保多种机制到位,因为没有单一的解决方案可以完全防止女巫攻击,使用多种机制可以使系统更能抵抗不同类型的攻击。
尽管「造假成本」概念可能会很有效果,但如果系统中造假的总成本等于系统中的资金量,那么可能会使得只有富有的个人才有机会获得身份。这提出了一个潜在的挑战,即可能会不可避免地导致“富豪化”结果,因此需要优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。
任何抵御女巫攻击的计划都可以在一定代价下被破解,所以项目方需要将重点放在确定可接受的欺诈程度上;个人应可以更有效地通过适当渠道获得反女巫认证,而不用在灰色或黑市上购买;虽然需要将造假成本设计在较高水平之上,但也要注意保持平衡,以免导致真实用户完成获得验证。
值得注意的是,可抵御女巫攻击的身份系统仍然容易受到串通行为攻击(比如贿赂)。对于一个理想的系统而言,TCB(总贿赂成本)和 TCF(总造假成本)必须大于该系统内公民可以获得的奖励数量。虽然基于成本的度量在打击造假行为时是必不可少的,但它们并不总是防止造假的最有效方法,如果潜在的非经济利益超过了成本,攻击者可能仍然愿意去承担一定的成本损耗。比如,想要推广自家项目的对手方可能愿意花费时间和资源来创建多个假身份,即使造假的成本相当高,此外,拥有巨大财务资源优势的对手可能也愿意承担高成本,以获得有价值的利益或特权。
幸运的是,还有其他机制可以帮助我们减少这些攻击,Gitcoin 也已意识到,只有采用多种解决方案才能在与攻击者的战斗中保持优势。
「造假成本」概念为社区提供了一种更精细和直观的方法来设计女巫抵御系统的安全性、效率和可扩展性。
我们很乐意从社区收集更多相关反馈。如果您在 Dapps 中使用了 Gitcoin Passport 或打算集成它,请让我们知道综合打分情况与造假成本之间的对比情况。最后补充一点,随着技术的进步,某些人身份证明的机制(如反向图灵测试)已变得更容易受到人工智能的破坏,这也可能会对「造假成本」的方法及设计产生重大影响。
Odaily星球日报
媒体专栏
阅读更多
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Arcane Labs
欧科云链
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。