Trusta Labs發起清白自證計劃：抗擊女巫投毒

最近Connext 獵巫計劃引起了社區的不滿和熱烈討論，個別社區成員揚言要用Connext 女巫地址投毒，尤其是zkSync 上交易量前10% 的地址。雖然多為口嗨，但現實中有用戶表示自己被投毒了。鏈上數據分析和安全平台Trusta Labs 討論了女巫投毒攻擊的兩種主要策略，強制聚類和標籤傳播策略，並詳細分析了一個在Polygon 上發生的Connext 真實女巫投毒案例。

這類投毒行為可能使許多無辜的地址被錯誤的標記為女巫，會傷害到用戶和整個社區，也會影響社區與項目方之間的信任。因此Trusta Labs 發起了“ Proof of Innocence Program”（PoIP），跟社區和項目方聯合起來對抗投毒，讓被投毒地址證明自己的清白。在PoIP 計劃中，用戶提交相關信息由Trusta 結合手工和AI 分析驗證，用戶在1 天內獲得反饋。這些數據將分享給項目方和反女巫團隊，以防止女巫識別誤殺行為，更好的保護用戶。

Connext 獵巫計劃與女巫投毒

Connext 是一個L2開放協議，使開發者能夠構建可在任何鏈上使用任何代幣的應用程序。上週Connext 更新空投規則並宣布了女巫獵人計劃，引起了社區的不滿和熱烈討論，個別社區成員揚言要用Connext 女巫地址投毒，尤其是zkSync 上交易量前10% 的地址。讓我們先來概述一下Connext 空投的時間表：
1. 8 月18 日，Connext 宣布對其xERC 20 $NEXT 代幣進行跨鏈空投。
2. 8 月24 日，Connext 像HOP 和SAFE 一樣推出了社區舉報女巫計劃。
3. 從8 月24 日到9 月1 日，社區成員識別並舉報了女巫攻擊者，在Github 提交舉報報告。
4. 截至9 月1 日，該社區舉報女巫計劃從62, 070 個候選地址中收集了約600 份報告，涉及約20 K 個地址（35% ）（https://github.com/connext/community-sybil-reports/issues）。

雖然選擇和獎勵有價值的真實用戶的初衷是好的，但我們看到社區內對女巫舉報計劃存在很多爭議。其中“投毒”成為了一個熱門話題，有一些被舉報的女巫地址用戶威脅要給其他錢包地址下毒，他們的目的是要攪亂整個女巫舉報工作和空投計劃，並且有KOL 展示了利用機器人進行投毒的短視頻，不過事後證明只是為了進行嘲諷，雖然這些投毒多為口嗨，但現實中有用戶表示自己確實被投毒了。

女巫投毒策略討論

Trusta Labs 根據鏈上數據分析和安全風控經驗，分析討論出女巫投毒攻擊的兩種主要手法和策略：強制聚類和標籤傳播，並且發現了真實的投毒案例。

投毒手法I（強制關聯/聚類）： 投毒者使用批量操作腳本或disperse.app 等工具進行批量Token 轉賬。他們會在很短的時間內向一組無辜的地址進行許多小額轉賬。所有偽造的轉賬都是以極小的金額發送相同的Token。

通過投毒者的大量Token 轉賬，所有不相關的地址都被強行關聯到一起，形成一個聚類，由於投毒的地址有批量的轉賬關係並屬於一個聚類，一些女巫識別算法會把聚類中的所有地址標識為女巫地址。這種強制聚類完全是基於這些地址與投毒地址有批量轉賬關係，儘管這些地址實際上互不關聯。

投毒手法II（女巫標籤傳播）： 標籤傳播是一種圖挖掘算法，它基於圖中緊密相連的節點往往具有相同標籤的規則。在圖中，方框中的地址由於具有鍊式資金轉賬關係已經被標記為女巫地址，攻擊者可以利用這些女巫地址作為“投毒者”地址，故意向無辜地址進行轉賬，形成拓展的鍊式結構，從而將女巫標籤傳播給其他無辜地址。

女巫標籤傳播依靠現有的女巫地址通過資金轉賬關係將其標籤傳播到其他地址。這就要求投毒者自身必須是已經被標記為女巫標籤。相比之下，強制關聯不需要預先存在的女巫地址。任何地址都可以用作投毒者，人為製造虛假的女巫地址批量行為模式。這樣，執行起來就更容易，成本也更低。

Trusta 在對鏈上數據分析的過程中，發現了一個在Polygon 上Connext 投毒案例，通過對這個案例的詳細分析，解釋了上述的投毒手法。

真實Connext 女巫投毒案例

如圖所示，投毒者地址0x 6 ab 使用disperse.app 向七個無辜地址批量轉賬。我們通過如下證據詳細分析了這個Connext 女巫投毒案例：

1. Polygon Scan 顯示投毒者交易記錄，投毒者從OKX 存入1 Matic 後，它唯一的行動就是向這7 個地址批量轉賬。 （https://polygonscan.com/address/0x6ab8472c4f92ecac445191ea787a0e4128c7af81）

2. 投毒轉賬發生在2023 – 08 – 25 05: 49: 40 至2023 – 08 – 25 05: 52: 12 期間，即Context 社區女巫舉報計劃期間。

3. 投毒者進行了7 輪轉賬，每輪向7 個地址中的每個地址發送0.0001 MATIC。由於投毒者可以在某一輪向同一地址進行多次轉賬，因此在所有7 輪轉賬中總共進行了180 次轉賬。 180 次投毒轉賬的完整列表可在如下提供的谷歌文檔鏈接中找到。 （https://docs.google.com/spreadsheets/d/ 1 dR 9 wVZN 1 o 0 _vBixKrxg 6 JSycHj 7 ADQlo /edit?usp=sharing&ouid= 117000940990722879540 &rtpof=true&sd=true）

4. 所有7 個地址都是Connext 空投發放候選地址。女巫舉報報告#589 （https://github.com/connext/community-sybil-reports/issues/589）以這些轉賬為證據，指控這七個地址是女巫聚類團夥。

5. 這7 個地址之間沒有檢測到任何直接轉賬。除投毒地址的直接轉賬外，它們之間沒有任何交易。

6. 我們分析了這些地址的Polygon 活動統計。如表所示，這7 個地址在首次資金來源、首次和最後一次交易日期、交互合約數目、交易費用和活躍週/月等指標上完全不同。這種極端差異意味著它們不可能屬於一個人控制的女巫團夥。

   

通過分析，我們得出結論，這是一個與Connext 空投有關的實際投毒案例，採用了強制關聯/聚類的投毒策略。

Trusta 發起“Proof of Innocence”計劃（PoIP）

Trusta 通過鏈上分析發現，由於女巫投毒攻擊行為，許多不相關的地址被錯誤地標記為女巫，這不僅出現在Connext 空投中，而且還出現在其他各種對無辜錢包的無差別攻擊中。這類投毒攻擊已經傷害到了用戶和整個社區，同時影響了社區與項目方之間的信任。

Trusta 一直致力於在Web3和加密世界建立更多信任，為了更好的保護無辜地址被女巫投毒，聯合起來打擊投毒攻擊行為，Trusta 發起了“Proof of Innocence”計劃（PoIP）。這個計劃可以讓被投毒的無辜地址證明自己的清白。如果你的地址被投毒，你可以選擇：

1. 訪問PoIP 入口（如下鏈接）並提供被投毒詳情，如你的錢包地址、被投毒地址、交易哈希值和所在鍊等。 （https://docs.google.com/forms/d/e/ 1 FAIpQLSe_ 1 dl 6 ocyhnDWUtm 9 BBvmWDGL_rDjhc 9 NNpfHXff 2 XhXL 5 eg /viewform）

2. Trusta 將結合人工和AI 分析算法共同判斷是否投毒攻擊。
3. 你將在一天內通過電子郵件收到判斷結果。
4. 這些數據將共同形成一個數據庫，證明你的地址與投毒地址無關！

Trusta 已推出並被Gitcoin Passport 等多個頭部社區所使用的真實用戶識別服務TrustScan 和鏈上價值評分產品TrustGo（https://www.trustalabs.ai/），都將結合這些數據不斷提升用戶識別結果的準確率。同時Trusta 也將向所有項目方和反女巫團隊提供這些數據，以防止因投毒攻擊而錯誤地將這些無辜地址識別為女巫地址。