พูดถึงกลไกต่อต้านแม่มดจากกระแส Arbitrum airdrop
ที่มา: Beosin
ที่มา: Beosin
เมื่อเร็ว ๆ นี้ Arbitrum ปล่อยโปรโตคอลส่วนขยาย Ethereum Layer 2 ได้กลายเป็นประเด็นร้อนในชุมชน cryptocurrency
ข้อมูลออนไลน์แสดงให้เห็นว่าจำนวนธุรกรรมบน Arbitrum เกิน 1.21 ล้านในวันที่ 22 มีนาคม ซึ่งสูงเป็นประวัติการณ์ เกินกว่า 1.08 ล้านธุรกรรมของ Ethereum mainnet และ 260,000 ธุรกรรมของ Optimism สามารถมองเห็นระดับความร้อนของมันได้
Arbitrum เป็นโปรโตคอลการปรับขนาดเลเยอร์ 2 ที่มีประสิทธิภาพสูง ต้นทุนต่ำ และการกระจายอำนาจ หลังจากออกอากาศในเย็นวันที่ 16 มีนาคม ผู้ใช้ "Lu Mao" จำนวนมากถูกจำกัดโดยกฎต่อต้านแม่มด วันนี้ เราจะมาศึกษาว่ากฎต่อต้านแม่มดคืออะไร
เมื่อพูดถึงการโจมตีของแม่มด เพื่อนๆ หลายคนน่าจะคุ้นเคยกันเป็นอย่างดี ใน blockchain นั้น Sybil Attack หมายถึงวิธีการโจมตีที่ผู้โจมตีควบคุมเครือข่ายโดยการปลอมแปลงตัวตนหรือโหนดหลายรายการ
Airdrop Sybil Attack เป็นวิธีการโจมตีเพื่อต่อต้านกิจกรรม airdrop ของ cryptocurrency ผู้โจมตีใช้ตัวตนปลอมและที่อยู่ปลอมเพื่อรับโทเค็น airdrop มากขึ้น
หากต้องการพูดคุยเกี่ยวกับกฎต่อต้านแม่มด เรามาเริ่มกันที่กฎของแอร์ดรอปนี้
กฎของ Arbitrum airdrop และรูปแบบการตรวจจับ
ใน Airdrop ของโทเค็น Arbitrum กลยุทธ์ Airdrop และรูปแบบการกระจายบางอย่างได้รับการกำหนดขึ้นเพื่อกำหนดปริมาณว่ากระเป๋าเงินแต่ละแห่งหรือที่อยู่เอนทิตีบนเครือข่ายนั้นตรงตามเกณฑ์คุณสมบัติ Airdrop หรือไม่:
1. หากธุรกรรมกระเป๋าเงินทั้งหมดของผู้รับ airdrop เกิดขึ้นภายใน 48 ชั่วโมง จะถูกหัก 1 คะแนน
2. หากยอดคงเหลือกระเป๋าเงินของผู้รับ airdrop น้อยกว่า 0.005 ETH และกระเป๋าเงินไม่ได้โต้ตอบกับสัญญาอัจฉริยะมากกว่าหนึ่งสัญญา ให้ลบหนึ่งจุด
3. หากที่อยู่กระเป๋าเงินของผู้รับ airdrop ถูกระบุว่าเป็นที่อยู่ sybil ระหว่างโปรแกรมรางวัล Hop Protocol ผู้รับจะถูกตัดสิทธิ์
4. นอกจากนี้ยังมีมาตรฐานที่ไม่ได้รับการยืนยันจากฝ่ายโครงการ นั่นคือ ผู้ใช้ที่ใช้ IP เดียวกันเพื่อเชื่อมต่อกับหลายกระเป๋าเงินเพื่อดูใน http://arbitrum.foundation จะถูกตัดสิทธิ์โดยตรงจากรายการ
ในขณะเดียวกัน Arbitrum ใช้ข้อมูลบนเครือข่ายเพื่อระบุที่อยู่ที่เกี่ยวข้องซึ่งเป็นของผู้ใช้คนเดียวกัน และใช้ข้อมูลจาก Nansen, Hop และ OffChain Labs เพื่อลบที่อยู่ทางกายภาพ เช่น บริดจ์ การแลกเปลี่ยน และสัญญาอัจฉริยะ นอกจากนี้ยังมีบางที่อยู่ที่ถูกนำออกโดยการตรวจสอบด้วยตนเอง เช่น ที่อยู่สำหรับการบริจาค
ใช้ประเภทข้อมูลต่อไปนี้ในการล้างข้อมูล:
1. ที่อยู่รายการคุณสมบัติดั้งเดิม (จาก Nansen)
2. ที่อยู่นิติบุคคลที่ไม่รวม (จาก Nansen)
3. ที่อยู่เงินฝาก CEX (จาก Nansen)
4. ที่อยู่เติมเงิน CEX (ติดตามได้จากกระเป๋าเงินด่วนของ CEX)
5. เส้นทางธุรกรรมที่ไม่ซ้ำใคร (จาก, ถึง) บน Arbitrum chain
6. เส้นทางธุรกรรมที่ไม่ซ้ำใคร (จาก, ถึง) บนเครือข่าย Ethereum
7. รายการที่อยู่ภายในของ OffChain Labs
8. บัญชีดำใน Hop airdrop
9. ที่อยู่หลังจากลบการโจมตี Sybil ใน Hop airdrop
10. ป้ายที่อยู่ Nansen
11. ที่อยู่อื่นที่ทำเครื่องหมายด้วยตนเอง
หลังจากล้างข้อมูลเสร็จแล้ว แผนภูมิสองประเภทจะถูกสร้างขึ้น:
กราฟประเภทแรกจะมีธุรกรรมแต่ละรายการที่มี msg.value เป็นขอบ (from_address, to_address)
กราฟประเภทที่สองจะมีการทำธุรกรรม backer/sweep แต่ละรายการเป็น edge (from_address, to_address) โดยที่ธุรกรรม backer คือ ETH แรกที่โอนเข้าบัญชี และธุรกรรมการกวาดคือการโอน ETH ครั้งล่าสุดจากบัญชี
คลัสเตอร์ถูกสร้างขึ้นโดยการแบ่งกราฟด้านบนเป็นกราฟย่อยที่เชื่อมต่ออย่างแน่นหนาและกราฟย่อยที่เชื่อมต่ออย่างอ่อน แยกย่อยกราฟย่อยขนาดใหญ่โดยใช้อัลกอริทึมการตรวจจับชุมชน Louvain ซึ่งให้ผลลัพธ์ที่ละเอียดยิ่งขึ้นและการปลดที่อยู่ Sybil ที่แม่นยำยิ่งขึ้น
ระบุกลุ่มซีบิลตามรูปแบบที่ทราบ เช่น:
การย้ายข้อมูลเป็นกลุ่มที่มีที่อยู่มากกว่า 20 รายการ
ที่อยู่ที่ได้รับทุนจากแหล่งเดียวกัน
ที่อยู่ที่มีกิจกรรมคล้ายกัน
จากนี้กลุ่มแม่มดถูกสร้างขึ้นดังนี้:
https://github.com/ArbitrumFoundation/sybil-detection
มี 110 Sybil คลัสเตอร์ที่สอดคล้องกับการโจมตี 319
https://github.com/ArbitrumFoundation/sybil-detection)
คลัสเตอร์ 1544 ที่มีที่อยู่ 56 ซีบิลที่มีสิทธิ์
นักวิจัยระบุที่อยู่ของซีบิลได้อย่างไร
นักวิจัยของ Offchain Labs ระบุกระเป๋าเงิน Sybil ที่เป็นไปได้โดยใช้อัลกอริทึมการจัดกลุ่มบนข้อมูลธุรกรรม from_address / to_address จาก Nansen Query และการติดตามแบบรวมและการถ่ายโอนโทเค็นบน Arbitrum และ Ethereum และตรวจสอบข้อมูลปลอมเพื่อหาผลบวกปลอมที่อาจเกิดขึ้น "ตรวจสอบ"
ภาพด้านล่างเป็นตัวอย่างที่อยู่ของแม่มดที่ต้องสงสัย:
ในกลุ่มที่มีประมาณ 400 ที่อยู่ สองที่อยู่มีกิจกรรมที่คล้ายกันมาก (ส่งเงินไปยังที่อยู่ฝากแลกเปลี่ยนส่วนกลางเดียวกัน)
ที่มา Nansen
จะเห็นได้ว่าที่อยู่ทั้งสองดำเนินการคล้ายกันในเวลาที่ใกล้เคียงกัน
ที่มา Nansen
แน่นอน อย่างไรก็ตาม บางคนยังคงบ่นเกี่ยวกับข้อบกพร่องในกลยุทธ์ airdrop ของ Arbitrum พวกเขาถือว่าที่อยู่กระเป๋าเงินที่ถูกโจมตีโดย Sybil เป็นเรื่องปกติ แต่ที่อยู่กระเป๋าเงินของผู้ใช้จริงจะถูกจำกัดแทน
นอกจาก Arbitrum ล่าสุดแล้ว การปล่อยสัญญาณ Hop Protocol เมื่อปีที่แล้วยังระบุผู้โจมตีซีบิลจำนวนมากผ่านกฎต่อต้านซีบิล
Sybil Attacker ระหว่าง Hop Protocol Airdrop
เมื่อวันที่ 6 พฤษภาคม พ.ศ. 2565 หลังจากที่พิธีสารข้ามสะพาน Hop Protocol ประกาศอย่างเป็นทางการเกี่ยวกับกฎการทิ้งระเบิด โดยระบุว่าในบรรดาที่อยู่ 43,058 รายการที่มีสิทธิ์ได้รับการปล่อยทิ้งในตอนแรกนั้น 10,253 รายการถูกระบุว่าเป็นผู้โจมตีซีบิล
ต่อไปนี้เป็นพื้นฐานบางส่วนสำหรับการตัดสินการโจมตีซีบิลโดยกลุ่มโครงการ Hop Protocol:
1. ที่อยู่หลายที่อยู่มีการกระจายกองทุนรวมหรือที่อยู่รวบรวมซึ่งพิสูจน์ได้ว่าเริ่มต้นโดยผู้โจมตี Sybil เช่น:
ที่มา: Sybil Attacker Report #275
2. ที่อยู่หลายแห่งมีความสัมพันธ์กันอย่างชัดเจนในบันทึกการโอน เช่น:
ที่มา: Sybil Attacker Report #367
3. การโจมตีของซีบิลมีร่องรอยของการดำเนินการเป็นชุดในหลายๆ แห่ง รวมถึงแต่ไม่จำกัดเพียง: การถ่ายโอนเป็นชุดในช่วงเวลาสั้นๆ มูลค่าของก๊าซที่เท่ากัน และปริมาณการโต้ตอบที่ใกล้เคียงกัน
4. ประวัติการโต้ตอบของที่อยู่แม่มดมีประวัติการโจมตีของโครงการอื่น ๆ ในอดีต
แน่นอนว่ายังมีโปรเจ็กต์ที่ไม่มีประสบการณ์ซึ่งไม่ได้กำหนดกฎต่อต้านแม่มดเมื่อเริ่มออกอากาศเช่น Aptos
เมื่อมองย้อนกลับไปที่เครื่องบินตกที่ไม่เป็นทางการของ Aptos ปาร์ตี้ขนสัตว์ได้รับชัยชนะครั้งใหญ่?
ในเดือนตุลาคมปีที่แล้ว ระหว่างงาน Aptos airdrop "นักวิทยาศาสตร์กลุ่มขนสัตว์" จำนวนมากได้รับ airdrop จำนวนมาก เนื่องจากกลุ่มโครงการไม่ได้ป้องกันการโจมตีของ sybil บนโหนด
มีคนแชร์ภาพหน้าจอของแอปพลิเคชันของเขาสำหรับเครือข่ายทดสอบ Aptos บน Twitter และชุมชน และเขาสามารถเห็นอินเทอร์เฟซแอปพลิเคชันของแตรหลายตัวบนโฮสต์ VPS ตามข้อเสนอแนะจากผู้ใช้ชุมชนที่สมัครใช้โทเค็น กฎของ Aptos คือ บัญชีแอปพลิเคชัน testnet แต่ละบัญชีสามารถรับโทเค็นได้ 300 โทเค็น และผู้ใช้ที่สร้าง NFT จะได้รับโทเค็น 150 โทเค็น ดังนั้น หากคุณมี 100 บัญชี คุณจะได้รับ 30,000 โทเค็น และหากคุณมี 1,000 บัญชี คุณจะได้รับ 300,000 โทเค็น
ภาพหน้าจอของการอ้างสิทธิ์ airdrops ที่โพสต์โดยผู้ใช้ในชุมชน
หลังจากที่ Aptos ออนไลน์บน Binance ราคาก็ยืดทันที และจากนั้นก็มีการทุบครั้งใหญ่ จากการวิเคราะห์ของนักวิจัย ที่อยู่การโจมตี sybil คิดเป็น 40% ของที่อยู่ Aptos ที่ฝากไว้ใน Binance ในเวลานั้น
จะเห็นได้ว่าการโจมตี airdrop sybil จะส่งผลกระทบบางอย่างต่อโครงการ airdrop และผู้เข้าร่วม เช่น ผลกระทบต่อราคาโทเค็น ความเสียหายต่อชื่อเสียงของแผน airdrop และผลกระทบต่อผู้สร้างชุมชนและผู้เข้าร่วม
กฎต่อต้านซีบิลกำหนดขึ้นอย่างไร?
เมื่อออกอากาศ โปรเจกต์ปาร์ตี้จะใช้กลไกต่อต้านซีบิลเพื่อป้องกันไม่ให้ผู้ใช้ที่ประสงค์ร้ายได้รับโทเค็นจำนวนมากเกินไปผ่านที่อยู่กระเป๋าเงินหลายรายการหรือวิธีการอื่นๆ เพื่อออกโทเค็นให้กับผู้ใช้จริง
จากเหตุการณ์ airdrop ที่ผ่านมา เราสามารถเห็นลักษณะของการโจมตีของซีบิลได้:
1. ที่อยู่ย่อยกระจาย/รวบรวมโดยที่อยู่หลักเดียวกัน
2. กระบวนการปฏิสัมพันธ์ เวลา และรายการเดียวกันทุกประการ
3. มูลค่า GAS จำนวนการทำธุรกรรมและเวลาเดียวกัน
4. มีการโอนระหว่างที่อยู่บ่อยครั้งและมีการแลกเปลี่ยน
ต่อไปนี้คือกลไกต่อต้านซีบิลบางส่วนที่ฝ่ายโปรเจกต์ทิ้งระเบิดอาจใช้:
เวลาสแนปชอต: กลุ่มโปรเจ็กต์ airdrop สามารถถ่ายภาพสแน็ปช็อตของที่อยู่ทั้งหมด ณ เวลาใดเวลาหนึ่ง และโทเค็น airdrop ไปยังที่อยู่เหล่านั้นที่มีโทเค็นอยู่ก่อนเวลาดังกล่าว วิธีนี้จะป้องกันไม่ให้ผู้ใช้ที่ประสงค์ร้ายสร้างที่อยู่ใหม่เพื่อรับโทเค็นหลังจากเวลาสแน็ปช็อต
เส้นทางการโต้ตอบ: ใช้ที่อยู่ที่โต้ตอบกับโครงการนี้ภายในระยะเวลาหนึ่ง และตรวจสอบความสอดคล้องของเส้นทางการโต้ตอบของที่อยู่เหล่านี้ก่อน/หลังการเข้าร่วมในโครงการนี้ตามเวลาที่โต้ตอบ
กระแสเงินทุน: ตรวจสอบทิศทางการไหลของเงินทุนเป็นหลัก และตรวจสอบการโอนกระเป๋าเงินแบบหนึ่งต่อหลายคนหรือหลายต่อหนึ่ง
ปริมาณการโต้ตอบ: ดูขนาดของปริมาณการโต้ตอบของโครงการและอัตราการใช้เงินซ้ำ
ความถี่ในการโต้ตอบ: ส่งออกรายละเอียดที่อยู่ซึ่งโต้ตอบกับโครงการภายในระยะเวลาหนึ่ง และใช้แผนภูมิเปอร์สเป็คทีฟของ Excel หรือคัมบังที่พัฒนาขึ้นเองของโครงการเพื่อนำข้อมูลในช่วงเวลาสูงสุดที่ผิดปกติไปใช้ในการวิจัยรอง คุณสามารถตรวจสอบได้ว่า กิจกรรมของที่อยู่ชุดนี้มีความคล้ายคลึงกัน
ความลึกของการโต้ตอบ: ใช้รายละเอียดของที่อยู่ที่เข้าร่วมในการโต้ตอบของโครงการนี้ภายในระยะเวลาหนึ่ง ตรวจสอบว่าจำนวนการโต้ตอบที่ผ่านมากับที่อยู่ชุดนี้และจำนวนการโต้ตอบหลังจากเข้าร่วมในโครงการนี้เพียงพอหรือไม่
Proof of Stake: Proof of Stake (PoS) เป็นกลไกฉันทามติที่ใช้โดย blockchains บางตัวเพื่อตรวจสอบธุรกรรม ใน PoS ผู้ใช้ต้องมีโทเค็นจำนวนหนึ่งเพื่อเข้าร่วมในเครือข่าย ปาร์ตี้โปรเจ็กต์ Airdrop สามารถกำหนดให้ผู้เข้าร่วมถือโทเค็นจำนวนหนึ่งเพื่อให้มีสิทธิ์ได้รับ Airdrop ซึ่งเป็นการเพิ่มเกณฑ์สำหรับ Airdrop
การยืนยัน KYC/AML: โปรเจ็กต์ Airdrop สามารถกำหนดให้ผู้เข้าร่วมต้องผ่านกระบวนการตรวจสอบ KYC (รู้จักลูกค้าของคุณ) หรือ AML (ต่อต้านการฟอกเงิน) กระบวนการนี้สามารถช่วยยืนยันตัวตนของผู้เข้าร่วม ซึ่งจะช่วยป้องกันการโจมตีของซีบิลตัวอย่างเช่น แพลตฟอร์มการปฏิบัติตามกฎระเบียบและการวิเคราะห์การต่อต้านการฟอกเงินของ Beosin KYT สามารถช่วยลูกค้าหลีกเลี่ยงการโต้ตอบกับที่อยู่ที่อาจมีความเสี่ยง (ที่อยู่ของผู้กระทำความผิด) และในขณะเดียวกันก็สามารถระบุพฤติกรรมที่ผิดปกติได้ และ Path Tracing จะขยายที่อยู่ที่น่าสงสัยอย่างชาญฉลาดเพื่อให้สามารถตรวจสอบความเสี่ยงได้ ทำได้ง่ายขึ้น อ่านเพิ่มเติม:
Beosin KYT เป็น "ผู้เชี่ยวชาญออนไลน์" สำหรับทุกความต้องการ AML ของคุณ
การยืนยันโซเชียลมีเดีย: ปาร์ตี้โปรเจกต์แอร์ดรอปสามารถกำหนดให้ผู้เข้าร่วมติดตาม กดไลค์ หรือรีโพสต์โพสต์โซเชียลมีเดียเพื่อให้มีสิทธิ์ได้รับแอร์ดรอป สิ่งนี้ช่วยให้มั่นใจได้ว่าผู้เข้าร่วมเป็นคนจริงๆ ไม่ใช่สคริปต์อัตโนมัติ
รายการที่อนุญาต: รายการที่อนุญาตคือรายการที่อยู่ที่มีสิทธิ์สำหรับการออกอากาศ ฝ่ายโครงการ Airdrop สามารถจำกัด Airdrop ให้อยู่ในรายชื่อผู้เข้าร่วมที่ได้รับการอนุมัติล่วงหน้า ซึ่งจะช่วยป้องกันการโจมตีของซีบิล
จำกัดจำนวนการทำธุรกรรม: ฝ่ายโครงการ airdrop สามารถจำกัดจำนวนการทำธุรกรรมที่แต่ละที่อยู่สามารถทำได้ วิธีนี้จะป้องกันไม่ให้ผู้ใช้ที่ประสงค์ร้ายได้รับโทเค็นจำนวนมากเกินไปจากการทำธุรกรรมจำนวนมาก
ขีดจำกัดเวลาการถือครอง: ฝ่ายโปรเจ็กต์ airdrop สามารถกำหนดให้ต้องเก็บโทเค็นที่อยู่ที่ถือครองไว้เป็นระยะเวลาหนึ่งเพื่อรับโทเค็น airdrop สิ่งนี้จะป้องกันผู้ใช้ที่ประสงค์ร้ายจากการซื้อและขายโทเค็นอย่างรวดเร็วเพื่อรับโทเค็นมากเกินไป
ข้อมูลอ้างอิงสนับสนุนอื่นๆ:
กิจกรรมโซเชียลมีเดีย: เวลาในการลงทะเบียน ความถี่ในการพูด คุณภาพของการพูด (ไลค์และรีทวีต) แฟนๆ ผู้ติดตาม อวาตาร์ โปรไฟล์ ฯลฯ
หมายเลขอุปกรณ์ที่อยู่ IP: จำนวนที่อยู่ลงทะเบียนของ IP/อุปกรณ์เดียวกัน ความถี่ในการเปลี่ยน IP ของที่อยู่เดียวกัน ฯลฯ
เราควรใส่ใจอะไรบ้างเมื่อเข้าร่วม airdrop?
ในที่สุด Beosin ก็สังเกตเห็นความกระตือรือร้นของทุกคนสำหรับ airdrops ในฐานะบริษัทรักษาความปลอดภัยเราจำเป็นต้องเตือนทุกคนดังต่อไปนี้
1. ทำความเข้าใจกับแหล่งข้อมูลที่เป็นทางการของโครงการ: ก่อนเข้าร่วมใน airdrop คุณควรไปที่เว็บไซต์ทางการและหน้าโซเชียลมีเดียของโครงการเพื่อตรวจสอบข้อมูลที่เกี่ยวข้อง รวมถึงรายละเอียดเฉพาะและกฎของแผน airdrop ตลอดจนสัญญา ที่อยู่ของโทเค็น airdrop เป็นต้น
3 ให้ความสนใจกับคำเตือนและข้อควรระวังเกี่ยวกับความเสี่ยง: ก่อนเข้าร่วมการทิ้งระเบิด คุณต้องอ่านคำเตือนและข้อควรระวังเกี่ยวกับความเสี่ยงที่ออกโดยฝ่ายโครงการอย่างรอบคอบเพื่อทำความเข้าใจความเสี่ยงและข้อควรระวังที่เกี่ยวข้อง และตรวจสอบให้แน่ใจว่าคุณยอมรับความเสี่ยงได้เพียงพอ
