บทความนี้มาจาก: Gitcoin
ผู้แปล: Odaily Azuma
ผู้แปล: Odaily Azuma
การโจมตีซีบิล (ที่รู้จักกันทั่วไปในอุตสาหกรรมแอร์ดรอปว่า "การดึงผม") เป็นปัญหาร้ายแรงมาก ซึ่งทำลายความน่าเชื่อถือและความสมบูรณ์ของเครือข่ายแบบกระจายอำนาจ
กลไกการกระจายอำนาจทำงานบน "สมมติฐานเอกลักษณ์เฉพาะ" - ผู้เข้าร่วมแต่ละคนมีตัวตนที่เป็นอิสระบนเครือข่ายและมีเสียงที่เท่าเทียมกันระหว่างตัวตนที่แตกต่างกัน - อย่างไรก็ตาม เมื่อมีผู้ใช้รายเดียวถูกสร้างขึ้นผ่านการโจมตีของซีบิล ตัวตนถูกสันนิษฐานและระบบถูกจัดการ
ด้วยการโจมตี sybil ผู้ใช้สามารถสร้างที่อยู่ปลอมได้หลายที่อยู่ แล้วรับรางวัล airdrop ซึ่งมากกว่าที่อยู่เดียว พฤติกรรมนี้บิดเบือนการแจกรางวัลและบ่อนทำลายโปรแกรม airdrop ดั้งเดิม ซึ่งควรจะสร้างแรงจูงใจให้กับผู้ใช้จริง
กลไกการจับคู่รองและกลไกการลงคะแนนของ Gitcoin ยังอาศัย "สมมติฐานเอกลักษณ์เฉพาะ" ข้างต้นในการดำเนินการ หากการโจมตี Sybil ไม่ได้รับการต่อต้าน การลงคะแนนเสียงและเงินทุนอาจถูกแจกจ่ายอย่างไม่เป็นสัดส่วนให้กับการระบุตัวตนปลอมที่ไม่คาดคิด ดังนั้น คะแนนเสียงและเงินทุนที่ผู้เข้าร่วมที่มีคุณภาพจะมี ได้รับถูกตัด.
ชื่อเรื่องรอง
กุญแจสำคัญในการทำลายเกมอยู่ที่ไหน?
ประเภทของการโจมตีซีบิลนั้นซับซ้อนมาก ผู้ริเริ่มอาจเป็น "นักวิทยาศาสตร์" องค์กรอาชญากรรม หรือแม้แต่รัฐชาติ และแรงจูงใจอาจเป็นผลกำไร ความบันเทิง หรือความมุ่งร้ายอย่างแท้จริง ศัตรูเหล่านี้อาจลองใช้กลยุทธ์การโจมตีที่แตกต่างกันอย่างมาก เช่น การขโมยข้อมูลส่วนตัว การจัดการ IP บอตเน็ต การโจมตีทางวิศวกรรมสังคม การบีบบังคับและการสมรู้ร่วมคิด ฯลฯ กลยุทธ์ในการยับยั้งการโจมตีเหล่านี้แตกต่างกันไป สิ่งที่เราต้องการคือวิธีการป้องกันที่ครอบคลุมและเปราะบาง
ชื่อเรื่องรอง
ความสมดุลระหว่าง "ความปลอดภัย ประสิทธิภาพ และความสามารถในการปรับขนาด"
ฉันทามติต่อต้าน Sybil ต้องการให้ข้อมูลประจำตัวแต่ละรายการมีความเป็นอิสระและไม่ซ้ำกัน ปัจจุบันมีโปรโตคอลบางอย่างที่บรรลุอำนาจอธิปไตยในตนเอง (การสร้างและควบคุมตัวตนโดยไม่ต้องมีส่วนร่วมของบุคคลที่สามที่รวมศูนย์) และความเป็นส่วนตัว (การได้มาและใช้ตัวตนโดยไม่เปิดเผยข้อมูลส่วนบุคคล) การต่อต้านการโจมตีซีบิลสามมิติเหล่านี้ (ต่อต้านการโจมตีซีบิล การปกป้องอำนาจอธิปไตยของตนเอง และการปกป้องความเป็นส่วนตัว) ล้วนเป็นปัญหาสามประการที่อัตลักษณ์แบบกระจายอำนาจต้องเผชิญ
ชื่อเรื่องรอง
ความคิดริเริ่มของ Gitcoin Passport
ใน Gitcoin Passport ซึ่งเป็นระบบยืนยันตัวตนบนเครือข่ายที่พัฒนาโดย Gitcoin ทีมงานใช้สองกลไกในการประเมินตัวตนที่เป็นอิสระของผู้ใช้: การยืนยันความเป็นมนุษย์ที่ไม่ซ้ำแบบค่อยเป็นค่อยไป และการยืนยันความเป็นมนุษย์ที่ไม่ซ้ำแบบบูลีน กลไกเหล่านี้กำหนดน้ำหนักให้กับความสำเร็จด้านพฤติกรรมต่างๆ ของผู้ใช้ (เช่น ผู้ใช้ได้ยืนยันบัญชี Twitter หรือ Google หรือไม่ พวกเขามี GTC หรือ ETH หรือไม่ มีส่วนร่วมใน Gitcoin Grants หรือไม่ จากนั้น Passport จะคำนวณคะแนนรวมของผู้ถือ คะแนนสามารถกำหนดได้ว่าผู้ถือ Passport สามารถปลดล็อกสิทธิ์ คุณลักษณะ หรือสิทธิประโยชน์อื่นๆ บางอย่างได้หรือไม่ ตัวอย่างเช่น ในการเปิดใช้งานคุณสมบัติการจับคู่รองในรอบสุดท้ายของ Gitcoin Grants Beta Round ผู้บริจาคจะต้องมีคะแนนรวมอย่างน้อย 15 คะแนนหรือสูงกว่า
ชื่อเรื่องรอง
วิธีการใช้แนวคิดของ "ต้นทุนปลอม"
แนวคิด "ต้นทุนของการปลอมแปลง" เป็นกลยุทธ์ที่ทำให้ผู้โจมตีปลอมแปลงข้อมูลประจำตัวมีราคาแพงขึ้น ประเด็นสำคัญ คือ การเปรียบเทียบทรัพยากร เวลา และความพยายามที่จำเป็นในการปลอมแปลงข้อมูลระบุตัวตนกับค่าใช้จ่ายในการดำเนินการป้องกัน ด้วยการเพิ่มค่าใช้จ่ายในการปลอมแปลง ผู้โจมตีมีโอกาสน้อยที่จะมีส่วนร่วมในพฤติกรรมฉ้อโกง เพิ่มความปลอดภัยของระบบ
หากกลยุทธ์หลักของ "ต้นทุนการปลอมแปลง" คือการเพิ่มต้นทุนของผู้โจมตีในขณะที่รักษาต้นทุนของผู้ใช้ทั่วไปให้ต่ำ สิ่งที่เราต้องทำคือสร้างระบบที่มีราคาแพงในการโจมตีมากกว่าการป้องกัน ต่อไปนี้เป็นสี่แนวทางหลักในการสร้างแนวต้านซีบิลในปัจจุบัน:
1. การยืนยันตามบัตรประจำตัวที่ออกโดยรัฐบาล (ใบขับขี่ หนังสือเดินทาง บัตรประจำตัวประชาชน ฯลฯ)
2. การยืนยันโดยใช้ข้อมูลไบโอเมตริกซ์ (การสแกนใบหน้า ลายนิ้วมือ หรือการสแกนม่านตา ฯลฯ)
3. การยืนยันตัวบุคคล (การประชุม งานเลี้ยง ฯลฯ)
4. การรับรองความถูกต้องตามเครือข่ายโซเชียล/ความน่าเชื่อถือ (บัญชี Web2, บัญชี Web3, NFT, ENS เป็นต้น)
ชื่อเรื่องรอง
ข้อเสียที่อาจเกิดขึ้น
ชื่อเรื่องรอง
คำแนะนำแก่ฝ่ายโครงการ
แผนการใดๆ ที่จะต่อต้านการโจมตีของซีบิลสามารถถูกถอดรหัสได้โดยมีค่าใช้จ่ายจำนวนหนึ่ง ดังนั้นฝ่ายโครงการจำเป็นต้องมุ่งเน้นไปที่การกำหนดระดับของการฉ้อโกงที่ยอมรับได้ บุคคลควรสามารถรับใบรับรองการป้องกันซีบิลได้อย่างมีประสิทธิภาพมากขึ้นผ่านช่องทางที่เหมาะสม แทนที่จะเป็นสีเทา หรือซื้อในตลาดมืด แม้ว่าต้นทุนของการปลอมแปลงจะต้องได้รับการออกแบบในระดับที่สูงกว่า แต่ก็ควรให้ความสนใจกับการรักษายอดคงเหลือเพื่อไม่ให้ผู้ใช้จริงทำการตรวจสอบจนเสร็จสมบูรณ์
เป็นที่น่าสังเกตว่าระบบระบุตัวตนที่ต่อต้านซีบิลยังคงมีความเสี่ยงต่อการโจมตีแบบสมรู้ร่วมคิด (เช่น การติดสินบน) สำหรับระบบในอุดมคติ TCB (ต้นทุนรวมของการติดสินบน) และ TCF (ต้นทุนรวมของการฉ้อโกง) จะต้องมากกว่าจำนวนรางวัลที่มีให้สำหรับประชาชนภายในระบบ แม้ว่ามาตรวัดตามต้นทุนจะมีความสำคัญในการต่อสู้กับการปลอมแปลง แต่ก็ไม่ใช่วิธีที่มีประสิทธิภาพสูงสุดในการป้องกันการปลอมแปลงเสมอไป และผู้โจมตีอาจยังเต็มใจที่จะเสียค่าใช้จ่ายหากผลประโยชน์ที่อาจไม่ใช่ทางการเงินมีมากกว่าต้นทุน ตัวอย่างเช่น คู่สัญญาที่ต้องการโปรโมตโครงการของตนเองอาจเต็มใจที่จะใช้เวลาและทรัพยากรในการสร้างตัวตนปลอมหลาย ๆ อัน แม้ว่าค่าใช้จ่ายในการปลอมแปลงจะค่อนข้างสูงก็ตาม นอกจากนี้ ฝ่ายตรงข้ามที่มีความได้เปรียบด้านทรัพยากรทางการเงินมากก็อาจเต็มใจเช่นกัน แบกรับต้นทุนที่สูงเพื่อให้ได้ผลประโยชน์หรือสิทธิพิเศษที่คุ้มค่า
โชคดีที่มีกลไกอื่นๆ ที่สามารถช่วยให้เราลดการโจมตีเหล่านี้ได้ และ Gitcoin ได้ตระหนักว่าโซลูชันที่หลากหลายเป็นวิธีเดียวที่จะรักษาความได้เปรียบในการต่อสู้กับผู้โจมตี
การสมรู้ร่วมคิด
แนวคิด "ต้นทุนของการปลอมแปลง" ช่วยให้ชุมชนมีแนวทางที่ละเอียดและใช้งานง่ายมากขึ้นในการออกแบบความปลอดภัย ประสิทธิภาพ และความสามารถในการปรับขนาดของระบบต้านทานซีบิล
เราอยากรวบรวมความคิดเห็นที่เกี่ยวข้องเพิ่มเติมจากชุมชน หากคุณใช้ Gitcoin Passport ใน Dapps ของคุณหรือวางแผนที่จะผสานรวม โปรดแจ้งให้เราทราบว่าคะแนนโดยรวมเป็นอย่างไรเมื่อเปรียบเทียบกับค่าใช้จ่ายในการปลอมแปลง สุดท้ายนี้ ผมอยากเสริมว่าเมื่อเทคโนโลยีก้าวหน้า กลไกในการระบุตัวตนของบุคคลบางคน (เช่น การทดสอบทัวริงแบบย้อนกลับ) มีความเสี่ยงมากขึ้นต่อปัญญาประดิษฐ์ ซึ่งอาจส่งผลเสียต่อวิธีการและการออกแบบ "ต้นทุนของ การปลอมแปลง" อิทธิพลมหาศาล
IOS
Android