Nói về cơ chế chống phù thủy từ cơn sốt airdrop Arbitrum
Nguồn gốc: Beosin
Nguồn gốc: Beosin
Gần đây, airdrop Arbitrum của giao thức mở rộng Lớp 2 Ethereum đã trở thành một chủ đề nóng trong cộng đồng tiền điện tử.
Dữ liệu trên chuỗi cho thấy số lượng giao dịch trên Arbitrum đã vượt quá 1,21 triệu vào ngày 22 tháng 3, mức cao kỷ lục, vượt qua 1,08 triệu giao dịch của mạng chính Ethereum và 260.000 giao dịch của Optimism. Mức độ bốc lửa của nó có thể được nhìn thấy.
Arbitrum là một giao thức mở rộng Lớp 2 với hiệu suất cao, chi phí thấp và phi tập trung. Sau đợt airdrop vào tối ngày 16 tháng 3, một số lượng lớn người dùng "Lu Mao" đã bị hạn chế bởi một loạt quy tắc chống phù thủy, hôm nay chúng ta sẽ cùng tìm hiểu xem quy tắc chống phù thủy là gì.
Khi nói đến các cuộc tấn công của phù thủy, nhiều bạn hẳn đã quen thuộc với nó. Trong blockchain, Sybil Attack đề cập đến một phương thức tấn công trong đó kẻ tấn công kiểm soát mạng bằng cách giả mạo nhiều danh tính hoặc nút.
Airdrop Sybil Attack là một phương pháp tấn công chống lại các hoạt động airdrop tiền điện tử. Những kẻ tấn công sử dụng danh tính giả mạo và địa chỉ giả để có được nhiều mã thông báo airdrop hơn.
Để nói về các quy tắc chống phù thủy, hãy bắt đầu với các quy tắc của airdrop này.
Quy tắc airdrop Arbitrum và mô hình phát hiện
Trong đợt airdrop token Arbitrum, một số chiến lược airdrop và mô hình phân phối đã được xây dựng để định lượng xem mỗi ví hoặc địa chỉ tổ chức trên chuỗi có đáp ứng tiêu chí đủ điều kiện airdrop hay không:
1. Nếu tất cả các giao dịch ví của người nhận airdrop diễn ra trong vòng 48 giờ, 1 điểm sẽ bị trừ.
2. Nếu số dư ví của người nhận airdrop ít hơn 0,005 ETH và ví không tương tác với nhiều hơn một hợp đồng thông minh, hãy trừ một điểm.
3. Nếu địa chỉ ví của người nhận airdrop được xác định là địa chỉ sybil trong chương trình tiền thưởng Hop Protocol, người nhận sẽ bị loại.
4. Ngoài ra còn có một tiêu chuẩn chưa được bên dự án xác nhận, đó là người dùng sử dụng cùng một IP để kết nối với nhiều ví để xem trên http://arbitrum.foundation sẽ bị loại trực tiếp khỏi danh sách.
Trong khi đó, Arbitrum sử dụng dữ liệu trên chuỗi để xác định các địa chỉ liên quan thuộc sở hữu của cùng một người dùng và sử dụng dữ liệu từ Nansen, Hop và OffChain Labs để xóa các địa chỉ vật lý như cầu nối, sàn giao dịch và hợp đồng thông minh. Ngoài ra còn có một số địa chỉ bị xóa thông qua kiểm tra thủ công, chẳng hạn như địa chỉ quyên góp.
Sử dụng các loại dữ liệu sau để làm sạch dữ liệu:
1. Địa chỉ danh sách bằng cấp gốc (từ Nansen)
2. Địa chỉ thực thể bị loại trừ (từ Nansen)
3. Địa chỉ nạp CEX (từ Nansen)
4. Địa chỉ nạp tiền CEX (có thể theo dõi từ ví nóng của CEX)
5. Các tuyến giao dịch duy nhất (từ, đến) trên chuỗi Arbitrum
6. Các tuyến giao dịch duy nhất (từ, đến) trên chuỗi Ethereum
7. Danh sách địa chỉ nội bộ của OffChain Labs
8. Danh sách đen trong Hop airdrop
9. Địa chỉ sau khi loại bỏ cuộc tấn công Sybil trong Hop airdrop
10. Nhãn địa chỉ Nansen
11. Các địa chỉ hoạt động được đánh dấu thủ công khác
Sau khi làm sạch dữ liệu hoàn tất, hai loại biểu đồ sẽ được tạo:
Loại biểu đồ đầu tiên sẽ có mỗi giao dịch với msg.value là một cạnh (từ_address, to_address).
Loại biểu đồ thứ hai sẽ có mỗi giao dịch của người hỗ trợ/quét dưới dạng cạnh (từ_địa chỉ, đến_địa chỉ), trong đó giao dịch của người ủng hộ là ETH đầu tiên được ghi có vào tài khoản và giao dịch quét là lần chuyển ETH cuối cùng từ tài khoản.
Các cụm được tạo bằng cách phân vùng biểu đồ trên thành các đồ thị con liên thông mạnh và các đồ thị con liên thông yếu. Phân tách các đồ thị con lớn bằng cách sử dụng thuật toán phát hiện cộng đồng Louvain, cung cấp kết quả tốt hơn và giải giáp chính xác hơn các địa chỉ Sybil.
Xác định các cụm Sybil dựa trên các mẫu đã biết, chẳng hạn như:
Di chuyển theo cụm hơn 20 địa chỉ
địa chỉ được tài trợ bởi cùng một nguồn
địa chỉ có hoạt động tương tự
Từ đó, một cụm phù thủy đã được tạo ra, như sau:
https://github.com/ArbitrumFoundation/sybil-detection
Chứa 110 cụm địa chỉ tuân thủ tấn công Sybil 319
https://github.com/ArbitrumFoundation/sybil-detection)
Cụm 1544 chứa 56 địa chỉ đủ điều kiện Sybil
Làm thế nào để các nhà nghiên cứu xác định địa chỉ Sybil?
Các nhà nghiên cứu của Offchain Labs đã xác định các ví Sybil có thể có bằng cách sử dụng thuật toán phân cụm trên dữ liệu giao dịch from_address / to_address từ Nansen Query, đồng thời tích hợp theo dõi và chuyển mã thông báo trên Arbitrum và Ethereum, đồng thời kiểm tra dữ liệu một cách giả tạo để tìm các thông tin xác thực sai có thể xảy ra.
Hình ảnh dưới đây là một ví dụ về một địa chỉ phù thủy bị nghi ngờ:
Trong một nhóm gồm ~400 địa chỉ, hai địa chỉ có hoạt động rất giống nhau (gửi tiền đến cùng một địa chỉ tiền gửi trao đổi tập trung).
Nguồn nansen
Có thể thấy rằng hai địa chỉ đã thực hiện các hoạt động tương tự nhau vào thời điểm rất gần nhau.
Nguồn nansen
Tất nhiên, mặc dù vậy, một số người vẫn phàn nàn về những sai sót trong chiến lược airdrop của Arbitrum, họ coi các địa chỉ ví bị Sybil tấn công là bình thường, nhưng thay vào đó, địa chỉ ví của người dùng thực lại bị hạn chế.
Ngoài Arbitrum gần đây, airdrop Hop Protocol năm ngoái cũng đã xác định được một số lượng lớn những kẻ tấn công Sybil thông qua các quy tắc chống Sybil.
Kẻ tấn công Sybil trong Hop Protocol Airdrop
Vào ngày 6 tháng 5 năm 2022, sau khi Giao thức Hop liên chuỗi chính thức công bố các quy tắc airdrop, nó tuyên bố rằng trong số 43.058 địa chỉ ban đầu đủ điều kiện cho airdrop, 10.253 địa chỉ được xác định là những kẻ tấn công Sybil.
Sau đây là một số cơ sở để đánh giá các cuộc tấn công Sybil của bên dự án Hop Protocol:
1. Nhiều địa chỉ có một địa chỉ thu hoặc phân phối quỹ thống nhất, điều này chứng tỏ rằng nó được khởi xướng bởi kẻ tấn công Sybil, chẳng hạn như:
Nguồn: Báo cáo kẻ tấn công Sybil #275
2. Nhiều địa chỉ có mối tương quan rõ ràng trong hồ sơ chuyển nhượng, chẳng hạn như:
Nguồn: Báo cáo kẻ tấn công Sybil #367
3. Các cuộc tấn công Sybil có dấu vết của hoạt động hàng loạt ở nhiều nơi, bao gồm nhưng không giới hạn ở: chuyển hàng loạt trong một khoảng thời gian ngắn, cùng giá trị gas và lượng tương tác tương tự.
4. Lịch sử tương tác của các địa chỉ phù thủy có hồ sơ tấn công của các dự án khác trong quá khứ.
Tất nhiên, cũng có những bên dự án thiếu kinh nghiệm đã không xây dựng các quy tắc chống phù thủy khi bắt đầu airdrop, chẳng hạn như Aptos.
Nhìn lại airdrop độc lạ của Aptos, bên len thắng đậm?
Vào tháng 10 năm ngoái, trong sự kiện airdrop Aptos, nhiều "nhà khoa học bên len" đã nhận được một số lượng lớn airdrop vì bên dự án đã không ngăn chặn các cuộc tấn công sybil vào các nút.
Ai đó đã chia sẻ ảnh chụp màn hình ứng dụng của anh ấy cho mạng thử nghiệm Aptos trên Twitter và cộng đồng, và anh ấy có thể thấy giao diện ứng dụng của nhiều loại kèn trên máy chủ VPS. Theo phản hồi từ cộng đồng người dùng đăng ký mã thông báo, quy tắc airdrop của Aptos là mỗi tài khoản ứng dụng testnet có thể nhận được 300 mã thông báo và người dùng đúc NFT có 150 mã thông báo. Vì vậy, nếu bạn có 100 tài khoản, bạn có thể nhận được 30.000 mã thông báo và nếu bạn có 1.000 tài khoản, bạn có thể nhận được 300.000 mã thông báo.
Ảnh chụp màn hình yêu cầu airdrop được đăng bởi người dùng cộng đồng
Sau khi Aptos xuất hiện trực tuyến trên Binance, giá đã tăng vọt ngay lập tức và sau đó là một cú đột phá lớn. Theo phân tích của nhà nghiên cứu, các địa chỉ tấn công sybil chiếm 40% số địa chỉ Aptos được gửi vào Binance tại thời điểm đó.
Có thể thấy rằng cuộc tấn công sybil airdrop sẽ có tác động nhất định đến dự án airdrop và những người tham gia, chẳng hạn như tác động đến giá mã thông báo, tổn hại đến danh tiếng của kế hoạch airdrop và tác động đến những người xây dựng cộng đồng và người tham gia.
Các quy tắc chống Sybil được xây dựng như thế nào?
Khi airdrop, bên dự án sẽ sử dụng cơ chế chống sybil để ngăn người dùng độc hại lấy quá nhiều mã thông báo thông qua nhiều địa chỉ ví hoặc các phương tiện khác, để phát hành mã thông báo cho người dùng thực.
Từ các sự kiện airdrop trước đây, chúng ta có thể thấy đặc điểm của các cuộc tấn công Sybil:
1. Các địa chỉ con được phân phối/thu thập bởi cùng một địa chỉ mẹ
2. Quá trình tương tác, thời gian và vật phẩm giống hệt nhau
3. Cùng mệnh giá GAS, số tiền và thời gian giao dịch
4. Có sự chuyển giao thường xuyên giữa các địa chỉ và có sự trao đổi.
Sau đây là một số cơ chế chống lừa đảo mà các bên tham gia dự án airdrop có thể sử dụng:
Thời gian chụp nhanh: Bên dự án airdrop có thể chụp nhanh tất cả các địa chỉ tại một thời điểm cụ thể và thả mã thông báo đến những địa chỉ đã giữ mã thông báo trước thời điểm đó. Điều này ngăn người dùng độc hại tạo địa chỉ mới để lấy mã thông báo sau thời gian chụp nhanh.
Lộ trình tương tác: Lấy các địa chỉ đã tương tác với dự án này trong một khoảng thời gian và kiểm tra tính nhất quán của đường dẫn tương tác của các địa chỉ này trước/sau khi tham gia dự án này theo thời gian tương tác.
Dòng tiền: chủ yếu kiểm tra hướng dòng tiền và kiểm tra chuyển tiền một-nhiều hoặc nhiều-một của ví.
Lượng tương tác: Xem quy mô của lượng tương tác dự án và tỷ lệ tái sử dụng vốn.
Tần suất tương tác: Xuất chi tiết địa chỉ tương tác với dự án trong một khoảng thời gian nhất định và sử dụng biểu đồ phối cảnh Excel hoặc Kanban do dự án tự phát triển để lấy dữ liệu trong thời kỳ cao điểm bất thường cho nghiên cứu thứ cấp. Bạn có thể kiểm tra xem hoạt động của lô địa chỉ này giống nhau.
Độ sâu tương tác: Lấy chi tiết các địa chỉ đã tham gia tương tác của dự án này trong một khoảng thời gian nhất định. Kiểm tra xem số lượng tương tác trước đây với lô địa chỉ này và số lượng tương tác sau khi tham gia dự án này có đủ hay không.
Proof of Stake: Proof of Stake (PoS) là một cơ chế đồng thuận được một số chuỗi khối sử dụng để xác thực các giao dịch. Trong PoS, người dùng cần nắm giữ một lượng token nhất định để tham gia vào mạng. Các bên dự án airdrop có thể yêu cầu người tham gia nắm giữ một lượng token nhất định để đủ điều kiện nhận airdrop, nâng cao ngưỡng cho airdrop.
Xác minh KYC/AML: Bên dự án airdrop có thể yêu cầu người tham gia vượt qua quy trình xác minh KYC (Biết khách hàng của bạn) hoặc AML (Chống rửa tiền). Quá trình này có thể giúp xác minh danh tính của những người tham gia, giúp ngăn chặn các cuộc tấn công Sybil.Ví dụ: nền tảng phân tích và tuân thủ chống rửa tiền tài sản ảo Beosin KYT có thể giúp khách hàng tránh tương tác với các địa chỉ rủi ro tiềm ẩn (địa chỉ thủ phạm), đồng thời xác định các hành vi bất thường và Truy tìm đường dẫn mở rộng các địa chỉ đáng ngờ một cách thông minh để cho phép xác minh rủi ro thực hiện dễ dàng hơn. Đọc thêm:
Beosin KYT, một "chuyên gia trên chuỗi" cho tất cả các nhu cầu về AML của bạn
Xác minh phương tiện truyền thông xã hội: Bên dự án airdrop có thể yêu cầu người tham gia theo dõi, thích hoặc đăng lại các bài đăng trên phương tiện truyền thông xã hội để đủ điều kiện nhận airdrop. Điều này giúp đảm bảo rằng những người tham gia là người thật chứ không phải tập lệnh tự động.
Danh sách trắng: Danh sách trắng là danh sách các địa chỉ đủ điều kiện cho airdrop. Các bên tham gia dự án airdrop có thể giới hạn các đợt airdrop trong danh sách những người tham gia được phê duyệt trước, giúp ngăn chặn các cuộc tấn công Sybil.
Giới hạn số lượng giao dịch: Bên dự án airdrop có thể giới hạn số lượng giao dịch có thể được thực hiện theo từng địa chỉ. Điều này ngăn người dùng độc hại có được quá nhiều mã thông báo bằng cách thực hiện các giao dịch lớn.
Giới hạn thời gian nắm giữ: Bên dự án airdrop có thể yêu cầu địa chỉ giữ mã thông báo phải được lưu giữ trong một khoảng thời gian nhất định để nhận được mã thông báo đã được airdrop. Điều này ngăn người dùng độc hại mua và bán mã thông báo nhanh chóng để có được quá nhiều mã thông báo.
Tài liệu tham khảo hỗ trợ khác:
Hoạt động truyền thông xã hội: thời gian đăng ký, tần suất nói, chất lượng nói (lượt thích và tin nhắn lại), người hâm mộ, người theo dõi, hình đại diện, hồ sơ, v.v.
Số thiết bị địa chỉ IP: số lượng địa chỉ đã đăng ký của cùng một IP/thiết bị, tần suất thay đổi IP của cùng một địa chỉ, v.v.
Chúng ta nên chú ý điều gì khi tham gia airdrop?
Cuối cùng, Beosin cũng đã nhận thấy sự nhiệt tình của mọi người đối với các đợt airdrop, với tư cách là một công ty bảo mật, chúng tôi cần nhắc nhở mọi người như sau.
1. Tìm hiểu các nguồn thông tin chính thức của dự án: Trước khi tham gia airdrop, bạn nên vào trang web chính thức của dự án và các trang mạng xã hội để kiểm tra thông tin liên quan, bao gồm các chi tiết cụ thể và quy tắc của kế hoạch airdrop, cũng như hợp đồng địa chỉ của mã thông báo airdrop, v.v.
3 Chú ý đến các cảnh báo và biện pháp phòng ngừa rủi ro: Trước khi tham gia airdrop, bạn phải đọc kỹ các cảnh báo và biện pháp phòng ngừa rủi ro do bên dự án đưa ra để hiểu các rủi ro và biện pháp phòng ngừa có liên quan, đồng thời đảm bảo rằng bạn có đủ khả năng chịu đựng rủi ro.
