# 從 Link3 更新 Sybil 規則,看區塊鏈項目都如何防止女巫攻擊 By [小烏鴉Ma𝕏](https://paragraph.com/@soaringcrowz-2) · 2023-05-13 --- 前言 -- > **本文章內容同步刊登於**[**「鏈閃」專欄**](https://www.chainlighting.io/share/view/1039)**。** 自從 CyberConnect 在 3 月宣佈和 Link3 推出 Fan Club 之後,的確讓不少人每天花費時間完成各項互動任務,只為了參與「Link3 Mystery Boxes」的抽獎。 [https://twitter.com/CyberConnectHQ/status/1636008452756746240](https://twitter.com/CyberConnectHQ/status/1636008452756746240) 按照 CyberConnect 的說法,此活動的原意是讓每一位持有 CyberConnect FanPass 用戶的貢獻都能夠得到適當的認可、量化和獎勵,以此打造一個新的「會員忠誠度計劃」。 但幻想是美麗的,現實卻很殘酷,在參與條件寬鬆的情況下(只要有錢包,人人皆可參加),大量的女巫帳號出現並參與這個活動,而因為活動規則的限制下,導致絕大多數的獎勵都被工作室、羊毛檔給拿走了。 ![圖片來源:OpenSea](https://storage.googleapis.com/papyrus_images/372e70b84926baef20d7fe19b0b598bb8aaa184b7540272d4d3276223212e72b.png) 圖片來源:OpenSea 這樣的結果也導致願意參與任務活動的人越來越少,或許是因為這樣下去不是辦法,所以 Link3 才決定更新 Sybil 規則,讓更多真實用戶能夠獲得獎勵。 ![圖片來源:CyberConnect Fan Club 活動截圖](https://storage.googleapis.com/papyrus_images/cb9346a2746dea25594829ae4674d004fe963b71806a75519a7d31a31b7e8e56.png) 圖片來源:CyberConnect Fan Club 活動截圖 本文將以此為出發點,看一下區塊鏈常見的女巫攻擊類型,以及幾個比較知名的防範女巫攻擊的案例。 何謂「Sybil Attack:女巫攻擊」? ---------------------- 指攻擊者透過創建大量的假身份或節點,試圖佔據區塊鏈網路的控制權。女巫攻擊常被用來操縱投票系統、分散式共識機制、身份驗證系統等,從而影響整個區塊鏈系統的正常運作,同時也影響鏈上交互的公平性。 > 小知識:女巫攻擊(Sybil Attack )名詞的原意其實來自於 Flora Rheta Schreiber 在1973年出版的《Sybil》講述了一個患有離解性身分障礙並據稱有16種不同性格的女人的故事。 ![圖片來源:Amazon](https://storage.googleapis.com/papyrus_images/ab343ec0abf8cfdc2c0b02d18703c20efc51536e9f2c70f4edb4f1813d9afb57.png) 圖片來源:Amazon ### 常見的女巫攻擊包括以下幾種: * 社交網路攻擊:攻擊者在社交網路上創建多個假帳號,並透過這些假帳號與其它使用者互動,進而擴大其影響力。 * 漏洞攻擊:攻擊者利用區塊鏈系統的漏洞,創建大量的假身份或節點,並將其添加到區塊鏈網路中。 * PoW/PoS 攻擊:都是攻擊者利用共識機制的漏洞,創建大量的假節點,從而控制整個區塊鏈網路。 當然,一定也有人會問 51%攻擊算不算女巫攻擊,其實兩派論點都有人支持,但我個人的認知是不算。因為我認為兩者有很明顯的差異,這邊以投票來舉例: * 51%攻擊:在總票數不變的情況下,一個人掌握過半的選票(節點)。 * 女巫攻擊:一人分飾多角,創造出比原有投票人數多的身份,來讓自己取得更多的票數。 整體來說,女巫攻擊是區塊鏈系統中一個重要的安全問題,需要區塊鏈從業者和研究人員不斷探索解決方案,保障區塊鏈系統的安全性和穩定性。 ![圖片來源:Binance Academy](https://storage.googleapis.com/papyrus_images/0af655cc2f59f38e50d50d4cb3e0c72148cb72100389c966c1d9a487ef22cc63.png) 圖片來源:Binance Academy 典型的防女巫攻擊(Sybil Resistance)案例 ---------------------------- ### Gitcoin 推出 Gitcoin Passport ![圖片來源:Gitcoin Passport](https://storage.googleapis.com/papyrus_images/c01724c38e6d1a778c7d3299d2929284d73ddf6bdf78373dfebabfd1466a3d6a.png) 圖片來源:Gitcoin Passport Gitcoin 前幾輪就是典型的被女巫攻擊的受害者,因為其原本的平方募資法([Quadratic Funding, QF)](https://www.youtube.com/watch?v=HJljTtLnymE&feature=youtu.be)機制,讓許多真心要做事的項目拿不到好的分配,反而是女巫攻擊後的項目,得到了最多的配額,但是又不一定會持續為以太坊的基礎建設而努力。 所以後來才從原本的不受限制,到去年 9 月採用 Trust Bonus,再到今年 Alpha Round 開始全面採用 [Passport](https://passport.gitcoin.co/#/welcome)。 最初是因為 Gitcoin 的自身需求創建了 Passport:為了保護 Gitcoin 的 Grants 免受女巫攻擊,以便只有真正的人可以幫助決定哪些項目可以從共享匹配池中獲得資金。現在也開放 DApp 導入,透過 Passport 分數來限制女巫參與活動。 並鼓勵所有參與者努力參與鏈上交互以及鏈下的身份維護,以此獲得更高的積分;同時,也打造屬於自己在網際網路上的公民護照。 [https://go.gitcoin.co/passport](https://go.gitcoin.co/passport) ### Arbitrum 空投 ![圖片來源:Coinlive](https://storage.googleapis.com/papyrus_images/d7af1e0d3caca643ee487d6dc57e08c68a7fc0469288f6679f98f962f7519339.png) 圖片來源:Coinlive Arbitrum 的空投應該是今年最激勵人心的事情了。 [https://docs.arbitrum.foundation/airdrop-eligibility-distribution](https://docs.arbitrum.foundation/airdrop-eligibility-distribution) 雖然也是一樣採用積分制度,來判斷每一個參與者的錢包可以獲得多少的配額,但,其為了防止女巫領取大部分的代幣,也算是用心良苦,這邊來看一下他制定了哪一些規則: * 如果空投接收者的錢包交易全部發生在 48 小時內,則減去 1 分。 * 如果空投接收者的錢包餘額少於 0.005 ETH,並且錢包沒有與超過一個智能合約交互,則減去一分。 * 如果空投接收者的錢包地址在 Hop Protocol 賞金計劃期間被識別為 Sybil 地址,則該接收者將被取消資格。 前兩點完全可以理解,這樣的確可以有效殺掉一些短期沖交易量和交互,然後就放著不管的錢包地址,不過第三點是最多人詬病的部分;絕大多數的說法是,去年 6 月進行的「Arbitrum Odyssey」活動,許多人都是透過 Hop Protocol 參與交互,有人質疑因此被列為女巫帳號非常不公平。 但真是如此嗎?規則所提到的「Hop Protocol 賞金計劃」的時間是 2022 年 5 月,而那時候就有列過一批女巫帳號,Arbitrum 參考的依據是這個,而非是後來 6 月所推出「Arbitrum Odyssey」。所以抱怨這一點的人,大多數不求查證,以訛傳訛的人。 當然,雖然仍有人抱怨 Arbitrum 空投策略的缺陷;的確,我們仍然看到不少羊毛檔獲得大量的配額,但我認為 Arbitrum 這樣的機制,已經盡力的去杜絕女巫地址了。 對 Arbitrum 的機制有興趣的人,強烈建議可以參考 Beosin 的文章《[深度 | Arbitrum空投的熱潮之下,如何看反女巫機制?](https://mp.weixin.qq.com/s/tDMu0APD7GhVGpJTQFzAtA)》 ### Link3 女巫新規則 ![圖片來源:Link3](https://storage.googleapis.com/papyrus_images/f631e09272c4390b0696117e225fcd2889636d3037141ae2016db669c805eced.png) 圖片來源:Link3 從前言可以看到,原本 CyberConnect Fan Club 的好意,最後被女巫帳號攪亂,導致獎勵池的分配不公平,使得參與活動的用戶越來越少。因此 Link3 才在 5 月 10 日公告最新的女巫規則,希望可以讓「活躍用戶」能夠再度參與到活動當中。 [https://link3.to/link3/post/b65126e5d4e06f7666ad1ca468fca9bac7e1ad0b58fe04b54afe8f4a3c4f7b7d](https://link3.to/link3/post/b65126e5d4e06f7666ad1ca468fca9bac7e1ad0b58fe04b54afe8f4a3c4f7b7d) 而規則也很好懂,將獎勵池分為主池(70%)和副池(30%),並引入信用點(Credit Points)系統。信用點達到 24 分的用戶才有資格參與主池抽獎。 **信用點的計算方式:** * Link3 個人檔案完成度(共1.67分)添加頭像、顯示名稱、基本信息 +1.67 * Gitcoin Passport 分數(總100分) * 付費 CyberProfile(共3.34分)CyberProfile 長度小於或等於 12 個字符 +1.67;CyberProfile 長度小於或等於 6 個字符 +1.67 * Link3 活動 W3ST 持有量(共6.68分)持有 10 個 +1.67;持有 50 個+1.67;持有 100 個 +1.67;持有 500 個 +1.67。 ![圖片來源:CyberConnect Fan Club](https://storage.googleapis.com/papyrus_images/59c46bf33b7287e95288c3b963ba1b298f682484414b51edd579da1a28b471a2.png) 圖片來源:CyberConnect Fan Club 從這邊可以看到 Link3 也是將 Gitcoin Passport 列入其中,並將 W3ST 的持有數量列入主要計分標準,為得就是讓真正有在參與各項活動的用戶,能夠得到更高的分數,雖然取得分數的門檻略高。但如果是時常參與鏈上交互活動的人,Gitcoin Passport 要達到 24 分以上,真的不會太難。 所以,無論你有沒有參與過 CyberConnect Fan Club,都蠻推薦來體驗看看的。 [https://link3.to/cyberconnect/fanclub?r=soaringcrowz](https://link3.to/cyberconnect/fanclub?r=soaringcrowz) 結論 -- ![圖片來源:MidJourney, Derivative By soaringcrowz](https://storage.googleapis.com/papyrus_images/1d11110c22477cbcb2bc364765d8fa63bd12c383e564f9fa39441d5c3e9957b1.png) 圖片來源:MidJourney, Derivative By soaringcrowz 防止女巫攻擊這一件事情,相信是最令區塊鏈項目頭疼的地方。門檻太高,也可以導致部分用戶無法參與,而降低參與用戶數量;門檻太低,又怕被工作室和羊毛檔找到漏洞去攻擊。因此,如何在防女巫和防誤殺中,尋找一個平衡點,就需要每一個項目和區塊鏈參與者一起尋找解決方案。 也是因為如此,Gitcoin 的 Beta Round 才特別開了一個「The Phantom Menace」的分類,為的就是鼓勵那些願意研究防女巫攻擊技術的項目,能夠獲得一筆資金去幫助其發展,並為整個生態系建立良好的基礎建設。而目前我看到做得最理想的,就是本文提到的 Gitcoin Passport。 當然,也有許多項目像我之前文章《[六大任務賞金平台,帶你深度參與區塊鏈的發展](https://mirror.xyz/lilcrowz.eth/I5FBzA0racAhxnwpyO3tZ7Frrlsh-Wp58qIuhtIsOdg)》中所提到的,透過「任務賞金平台」發佈任務,來要求用戶參與完成任務才能得到項目方提供的福利,這些都是解決的作法。 並不是說工作室和羊毛檔不好,而是一個生態的發展,需要的是更多願意參與的人;如果每個項目都只剩下薅羊毛、炒作,那這個項目最後也只會剩下一地雞毛。這應該不是大家所希望看到的吧! 參考資料 ---- 1. [Introducing Gitcoin Passport](https://docs.passport.gitcoin.co/overview/introducing-gitcoin-passport) 2. [Why Gitcoin Passport?](https://docs.passport.gitcoin.co/overview/overview) 3. [Arbitrum Sybil Detection](https://github.com/ArbitrumFoundation/sybil-detection) 4. [Arbitrum 空投,还能做的更好吗?](https://foresightnews.pro/article/detail/29329) 工商時間 ---- 歡迎加入鏈閃社群,一起交流討論 👉[Telegram 社群連結](https://t.me/+SiEUacrR9NBjYzY1) --- *Originally published on [小烏鴉Ma𝕏](https://paragraph.com/@soaringcrowz-2/link3-sybil)*