针对近期沸沸扬扬的L0女巫识别,berwin从众多的女巫报告中,筛选出有意义,有逻辑的报告,进行深度解析,希望对大家有帮助。
本人推特 @0xcoolberwin (大号被封,小号苟延残喘中), 前大厂安全研究员,菜鸟数据分析。
这是我女巫报告深度解析专题的第一篇,接下来持续更新…
看了下 和 LayerZero_Labs 进行官方合作的 chaos_labs 创始人omer 发布的猎巫方法,感觉有些参考价值:
报告只针对evm系链上的地址行为, aptos分析会未来分析
总用户 482w 得到女巫地址接近 70w 占比高达 14.5%
@layerzero_labs 和 @nansen_ai 两部分
重点关心CEX/DEX和跨链桥,超过50%汇入资金来源于此
关注每个地址转入的第一笔交易Token
追踪 L0地址 24 小时内的资金发送,并对已知实体进行分组
24小时之内 相同来源资金归集的地址作为一个实体,并划分实体的树状结构, 确定同一天由CEX/DEX或跨链桥 转入的地址
上图是 200个由FTX24小时之内的分发资金的地址 结构图
这一步是所有识别女巫的通用方法,不完全统计指标如下:
资金金额 : 每个钱包的初始金额
交易笔数:针对L0协议的交易笔数
总交易次数:地址的总活动次数
交互OAPP数量(On-chain Applications链上应用程序):交易链上合约或dapp数量
钱包地址的多链覆盖度: 钱包地址是否在不同的L1或者L2上 进行操作,横跨链的数量
LayerZero 平均交易量:每次与 LayerZero 交互的平均交易笔数。
…..很多 未公布的特征
每24个小时的CEX/DEX/Bridge的聚类得到结果后,选择三个最重要的三个团伙,这里说的比较模糊,应该是选择数量最多/最密集的三个团伙,毕竟聚类后的结果形态各异,找到最大可能性的cluster,才能事半功倍。
可视化某次的结果:
左侧为低可疑、较为分散的聚类地址 投影图,右侧Silhouette score>0.7 聚集性极强的地址 投影图。Silhouette score表示地址间行为的相似程度,在[0.1]之间,越接近1,表示越可能相似,女巫属性更大。
同一资金来源Sybil分类器的满足条件
相对规模:该聚类群组的规模明显大于同一资金转入期内的其他聚类群组。
阈值规模:该聚类群组中地址个数 超过 最小规模阈值 N 。 (N为报告编写方自己设置)
经过 Sybil分类器筛选后的结果,即为女巫本巫。
集群0中的地址在15小时的窗口内提供了相同的资金金额,并向L0发送了相同值的TX。
判定根据:
所有地址的资金少于10u;在layerzero上发送的平均金额值小于1ku。
15 小时内从kucoin充值金额,且资金数额相同,平均金额值相似且tx数量几乎一致,并都与正好 9 个 合约进行了交互,在layerzero上发送的平均金额值小于1ku。 这个看上去 比上一个更加明显!!!
初始结果:约 200 万用户最初被标记为可疑Sybil地址,占 LayerZero 独立用户的约 41%。(真的是非常夸张)
筛选过滤:过滤每个资助期的前 3 个群组,发现 120 万名可疑Sybil地址。
持续过滤:根据资金数量和交易量 继续过滤(具体的筛选过程没有给出),得到70w可疑Sybil地址,占l0 总地址的14%。(还是很多 😓)
L0项目方声势浩大的女巫检测活动几乎占据了最近半个月的撸毛圈头条,L0项目方 胡萝卜🥕+大棒 模式 杀得 撸毛人 风声鹤唳。
一方面,打出自首拿15%空投,“项目方不会忘记你做出的贡献” ,这种温柔一刀,让散户犹豫,观望;
另一方面,大力和多个Labs合作检测女巫,并且开通github举报通道,一周收到2k篇举报,“让英雄去查英雄,让好汉去查好汉”,《大明王朝》诚不欺我,摆出一副,“你想死就让你死的痛快”的强硬态度。
说回检测方法:
女巫检测方法 相比于去年,在行为上暂时没有看到特别大的突破,交互金额,交互时间,交互次数,多链分析 这些 老生常谈
但是今年 很多 分析者 找到了突破口 资金来源 资金来源 资金来源
无论链上的交互多么天马行空,杂乱无章,只要批量,永远绕不过。
CEX DEX 批量 方便可靠,代码并不难,操作性强,但是这些也成为了 猎巫者的关注重心
DEX Bridge 的地址固定,CEX 虽然不固定 但范围不大,筛选起来事倍功半,作为 任何检测方法的发起点,都是最优选择!!!
我不只在一篇女巫报告中看到针对资金来源的分析,感觉这个趋势会越来越聚焦于此,也希望大家以后对此有足够多的关注。
本人推特 @0xcoolberwin ,希望大家能多多关注一波,目前聚焦于有趣的数据分析,接下来还会带来更加有趣的Mirror,希望对大家有所帮助。