什么是女巫攻击?
SybilAttack,中文翻译成“女巫攻击”。
Sybil一词最早出自1973年的小说《Sybil》,这本小说讲的是女主SybilDorsett进行心理治疗的故事。她被诊断为分离性身份认同障碍,兼具16种人格。
而SybilAttack这个词是由JohnR.Douceur在2002年提出的,用于形容P2P网络中的一种特定攻击形式。在P2P网络中,节点可以随时加入和退出,所以为了维护网络的稳定,同一份数据需要备份到多个分布式节点上,这就是数据冗余机制。如果网络中存在一个恶意节点,那么这个恶意节点就可以伪装成多重身份,如同小说中的女主可以分裂出16个人格。原来需要备份到多个节点的数据被地备份到了同一个恶意节点,这样一来作恶的节点,就有可能掌握网络的控制权。
简单讲,一人化身为多人,这就是女巫攻击的本质。
在空投领域,所谓女巫攻击,就是指一个“肉身”控制了多个链上地址,伪装成不同用户进行交互的行为。
Cool Cats联合创始人宣布退居幕后担任项目顾问,拟启动新项目:金色财经报道,NFT项目Cool Cats联合创始人Evan Luza在社交媒体披露将退居幕后担任项目顾问并宣布该项目新任首席执行官@ChiefCoolCat,Evan Luza表示自己将专注于“接下来要开始的新事情”。此外,Cool Cats还宣布其与Animoca Brands和OneFootball联合推出足球NFT系列已完成Chainlink可验证随机函数(VRF)集成,通过Chainlink预言机网络提供更高透明度,并基于加密证明的生成和链上验证来确保安全,以验证提供给智能合约的每个方案的完整性。[2022/12/17 21:50:28]
对于项目方来说,女巫的行为其实破坏了项目去中心化的过程,所以在空投发放的过程中项目方可能会主动筛查女巫,或者由社区举报,从而取消其空投资格。
项目方怎么查女巫?
首先我们要明确一点,项目方查女巫是很耗费时间和精力的,这并不是一件容易的事情。而过往查到的女巫行为很大一部分其实是来自于社区的举报。
元宇宙项目Bloktopia更改代币释放机制,投资者需持有25%代币或延长至10年归属期:8月9日消息,元宇宙项目Bloktopia宣布在与私人投资者协商后,决定改变剩余75%代币的释放方式,以支持Bloktopia的长期增长并保护BLOK代币价格。
具体而言,Bloktopia提供了两种方式供投资者选择,第一种方式是在最近5次分配中持有至少25%的代币,并继续持有所有未来分配的40%,只允许出售60%。
未能满足该要求将自动触发投资者转移到第二种方式,即延长归属时间表以在10年内分配代币,从下一次分配时间开始有5年的锁定期。
如果投资者选择第一种方式,需要从公开市场回购代币,并在2022年8月16日之前存入最低要求的25%。[2022/8/9 12:13:14]
比如跨链桥HopProtocol就发动社区「举报toearn」,举报者将会获得女巫地址被罚没空投代币的25%,最初Hop符合空投条件的有43,?058个地址,后来因社区举报有10,?253个地址被认定为女巫,取消了空投资格。同样在Optimism的第一轮空投中,社区也主动举报了1.7万个女巫地址,导致最后1400万个$OP代币被重新分配。
火币第11期FastTrack 项目投票上币已结束:据官网公告,7月29日火币全球站第11期 FastTrack 项目CHR (Chromia) 和LUNA (Terra) 投票上币已结束,LUNA 总得票数为 750万HT、CHR总票数为520万HT 。
根据本期 FastTrack 投票上币的规则,在“充值投票”阶段,用户充值即投票,结束后会基于用户的累计充值量瓜分对应项目价值10万USDT的代币。LUNA 有效充值数为1078万个,CHR有效充值数为1936万个。
充值投票结束后,LUNA将空投约44万个代币,投票上币的收益率为4.2%;CHR将空投约250万个代币,投票上币的收益率为12.9%。[2020/7/30]
Optimism并没有公开社区举报的详细信息,以及他们的判断标准。所以下面我们就从HopProtocol具体的提案中,看看究竟哪些行为被查到或者说被举报了。
Hop举报提案:https://github.com/hop-protocol/hop-airdrop/issues
动态 | 以太坊The DAO项目开发公司被Blockchains.com收购:6月4日讯,据CoinDesk消息,区块链孵化与投资机构 Blockchains.com 宣布收购德国区块链公司slock.it。slock.it 成立于 2015 年,曾开发以太坊去中心化组织项目The DAO。slock.it 计划未来数月发布一系列开源工具,供以太坊开发者社区使用。此外,slock.it 两位创始人 Christoph 与 Simon Jentzsch 两兄弟将分别担任 Blockchains 的技术副总和区块链开发主管。[2019/6/4]
案例一:
https://github.com/hop-protocol/hop-airdrop/issues/3?
该用户在使用完Hop之后,在Arbitrum网络上归集资金,将471个地址的所有资金都转移到了同一地址。
案例二:
https://github.com/hop-protocol/hop-airdrop/issues/163?
金色财经独家分析 币安过去24小时成交额138亿元“红杉系”项目价格下跌:金色财经独家分析,根据数据显示,过去24小时,币安成交额138亿元,火币pro成交额106亿元。而昨日晚间币安创始人赵长鹏在个人推特上表示,可能会很快要求所有申请在币安上线的项目披露其是否与红杉有直接或间接关系。受此影响多个与红杉资本有关的项目在币安的价格大幅下跌。很快对于此事全球另一大交易所火币创始人李林刚在朋友圈申明对于像红杉等这种全球顶级的vc投资的项目,在交易所上币审核时会得到加分。
有分析称类似红杉资本这样的知名企业,其企业背书对于很多项目而言本身就是加分项,而这次币安创始人的推特导致多个与红杉资本有关的项目价格下跌,这件事是赵长鹏对红杉资本在香港起诉币安的一次强力反击。[2018/5/8]
最中心的地址将MATIC分发给蓝色的地址,接着蓝色地址再将资金转移到绿色地址,最后绿色地址进行Hop交互从而拿到了空投。
案例三:
https://github.com/hop-protocol/hop-airdrop/issues/367?
地址之间的转账显然更加复杂,但是依然属于资金关联从而被判定为女巫。这个案例还有一点值得一提,举报者是在社区成员讨论交互策略的时候,发现了几个地址,然后着手深挖了这一系列的资金关系。这个事情告诉我们尽量不要公开自己的地址,埋伏空投别张扬。
案例四:
https://github.com/hop-protocol/hop-airdrop/issues/592?
这158?个地址在Optimism和Arbitrum上有完全类似的活动,并且他们在Fantom、Gnosis和Polygon链上的所有的交易都在一天内完成,并且这之后就没有任何交易记录了。
案例五:
https://github.com/hop-protocol/hop-airdrop/issues/9?
这25个地址之间存在关联性,并且这25个地址都在同一段时间内在Arbitrum上铸造了同一个NFT,同样的所有地址又在同一段时间内铸造了UniswapV3LPNFT。并且在Snapshot上面的ArbitrumOdyssey的所有投票中,这些地址投票选项一模一样。并且每次都是由下图最中间深色的地址最先操作。
翻看Hop社区举报的案例,被判定为女巫的主要就是以下两种行为?
多个钱包之间存在资金关联
短时间内大量钱包进行类似的操作
埋伏空投如何避免“被女巫”?
1、不要在链上进行资金分发/归集,用交易所代替
避免钱包之间的关联,这一点最最最最最重要。而相比于使用混币等方法掩盖钱包之间的转账关系,交易所才是最好的解决方案。
从交易所提币,资金都是从交易所几个固定的热钱包转出的。而交易所的热钱包每天都有大量的转账行为,所以没有人会从这里去查女巫,难度系数太大了。
但是向交易所充币就得注意了,比如我打算把Optimism网络的ETH充值回交易所,但是我币安的充值地址就是固定的一个,而我链上有30个钱包的资金需要归集。这里我肯定不能把30个钱包的币都打到这一个充值地址,因为这样就成了“多对一”的关系,会被怀疑是女巫攻击。
那么该如何解决呢?如果我有30个币安账户,有30个充值地址,那当然可以。不过使用OKX进行资金的汇集显然会更加方便。
因为OKX有一个功能非常好用,每一个主账户可以生成20个充值地址,如果你觉得不够用,那就开通子账户,每个账号最多开通20?个子账户。也就是说你开通一个OKX的账号,最多可以拥有21*?20?=?420个不同的充值地址。
2、避免短时间集中的批量行为,做到操作的随机化
所谓的随机化,包括两方面
交互方面:交互时间随机化;交互金额随机化;交互路线随机化
钱包方面:钱包创建时间随机化;资金转账随机化;ENS取名随机化
比如像OptimismQuests,你打算撸50个账号,你在操作的时候除了要避免资金关联,在实际交互的时候也可以稍微注意一下:尽量不要在短时间内集中转账/做任务,偶尔打乱任务的顺序……
总之,如果你是纯手工操作的话,基本是可以规避这些问题的。批量化的行为大部分是靠程序去操控的。
3、低调,不要公开自己的地址
撸空投这件事儿当然需要“伙伴”,因为这是一件枯燥的事情,伙伴之间互相监督互相打气很有必要。但是这也是私底下的事儿,千万不要在公开场合高调讨论自己的交互,更不要去曝光自己的地址。
就如同前面Hop的案例三,不小心公开了自己的地址,就有人去挖他的链上操作,只要被人抓到把柄,人家反手就是一个举报。
4、其它
其它我们可以做的就是尽可能丰富自己的链上行为,比如注册ENS域名,平时多参与snapshot投票,参与gitcoin捐赠……总之就是让你的账号像一个真人。
不过最后还是想说,大家在多账号进行交互的时候,也不需要过于小心翼翼。
比如关于IP的问题,过往发空投的项目其实很少有查IP的,除非是一些免费撸的,或者像?gamefi、元宇宙类的可能会查。另外,少数几个账号存在资金关联,比如四五个账号之间有互转,其实也没大问题的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。