什么是女巫攻擊?
SybilAttack,中文翻譯成“女巫攻擊”。
Sybil一詞最早出自1973年的小說《Sybil》,這本小說講的是女主SybilDorsett進行心理治療的故事。她被診斷為分離性身份認同障礙,兼具16種人格。
而SybilAttack這個詞是由JohnR.Douceur在2002年提出的,用于形容P2P網絡中的一種特定攻擊形式。在P2P網絡中,節點可以隨時加入和退出,所以為了維護網絡的穩定,同一份數據需要備份到多個分布式節點上,這就是數據冗余機制。如果網絡中存在一個惡意節點,那么這個惡意節點就可以偽裝成多重身份,如同小說中的女主可以分裂出16個人格。原來需要備份到多個節點的數據被欺騙地備份到了同一個惡意節點,這樣一來作惡的節點,就有可能掌握網絡的控制權。
簡單講,一人化身為多人,這就是女巫攻擊的本質。
在空投領域,所謂女巫攻擊,就是指一個“肉身”控制了多個鏈上地址,偽裝成不同用戶進行交互的行為。
觀點:日本新的穩定幣框架可能會促使美國采取行動:金色財經報道,日本于2022年6月通過了穩定幣法律框架,該框架于周四生效。?法律要求穩定幣必須與日元或另一種法定貨幣掛鉤,并保證以面值贖回給持有人。它還將穩定幣的發行限制在持牌金融機構,例如注冊銀行、匯款代理人和信托公司。
加密貨幣基金ProChain Capital的聯合創始人David Tawil表示,該國通過這一舉措彌合TradFi和DeFi之間差距的步驟從長遠來看將使每個人受益。在美國,大多數存款人,無論是個人還是企業,都可以享受免費的國內轉賬服務。但是,日本的倡議是邁向國際無摩擦、免費匯款的第一步。[2023/6/4 21:15:01]
對于項目方來說,女巫的行為其實破壞了項目去中心化的過程,所以在空投發放的過程中項目方可能會主動篩查女巫,或者由社區舉報,從而取消其空投資格。
項目方怎么查女巫?
首先我們要明確一點,項目方查女巫是很耗費時間和精力的,這并不是一件容易的事情。而過往查到的女巫行為很大一部分其實是來自于社區的舉報。
基于MetaMask的擴展工具CoinChoice上線:4月25日消息,基于MetaMask的擴展工具Coin Choice上線,該工具支持使用非GasToken(如USDC等)支付不同網絡的gas費用。該工具基于MetaMask的擴展平臺MetaMask Snaps搭建,曾是ETH Denver黑客松入圍項目。[2023/4/25 14:25:30]
比如跨鏈橋HopProtocol就發動社區「舉報toearn」,舉報者將會獲得女巫地址被罰沒空投代幣的25%,最初Hop符合空投條件的有43,?058個地址,后來因社區舉報有10,?253個地址被認定為女巫,取消了空投資格。同樣在Optimism的第一輪空投中,社區也主動舉報了1.7萬個女巫地址,導致最后1400萬個$OP代幣被重新分配。
Optimism并沒有公開社區舉報的詳細信息,以及他們的判斷標準。所以下面我們就從HopProtocol具體的提案中,看看究竟哪些行為被查到或者說被舉報了。
光年之外以10億美元估值尋求融資:金色財經報道,ChatGPT引燃的創業潮又引來一批入局者。美團(03690.HK)聯合創始人王慧文的新公司光年之外,近期也已啟動第二輪融資,投前估值約10億美元。據了解,快手董事長宿華也在密切關注大模型方向,已陸續投資數個項目。
此前報道,王慧文在社交平臺發文宣布進軍人工智能領域,稱將打造中國的OpenAI。王興將個人參與王慧文\"光年之外\"A輪投資并出任董事。[2023/4/5 13:46:18]
Hop舉報提案:https://github.com/hop-protocol/hop-airdrop/issues
案例一:
https://github.com/hop-protocol/hop-airdrop/issues/3?
該用戶在使用完Hop之后,在Arbitrum網絡上歸集資金,將471個地址的所有資金都轉移到了同一地址。
案例二:
慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:
1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。
2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。
3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。
綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]
https://github.com/hop-protocol/hop-airdrop/issues/163?
特斯拉向洛杉磯市遞交文件,將在好萊塢開設餐廳:5月25日消息,特斯拉(TSLA.O)已于當地時間5月19日向美國洛杉磯市遞交文件,申請在好萊塢圣莫妮卡大街7001號開設24小時營業的餐廳。據悉,這個占地9300平方英尺的餐廳包括一個汽車電影院和一個超級充電站。關于餐廳的開業日期或菜單,特斯拉沒有提供更多的細節。
馬斯克曾于今年2月表示,計劃在好萊塢一帶開始未來風格的餐廳和汽車影院。他還補充說,餐廳可以用虛擬貨幣狗狗幣付款。 (金十)[2022/5/25 3:40:52]
最中心的地址將MATIC分發給藍色的地址,接著藍色地址再將資金轉移到綠色地址,最后綠色地址進行Hop交互從而拿到了空投。
案例三:
https://github.com/hop-protocol/hop-airdrop/issues/367?
地址之間的轉賬顯然更加復雜,但是依然屬于資金關聯從而被判定為女巫。這個案例還有一點值得一提,舉報者是在社區成員討論交互策略的時候,發現了幾個地址,然后著手深挖了這一系列的資金關系。這個事情告訴我們盡量不要公開自己的地址,埋伏空投別張揚。
案例四:
https://github.com/hop-protocol/hop-airdrop/issues/592?
這158?個地址在Optimism和Arbitrum上有完全類似的活動,并且他們在Fantom、Gnosis和Polygon鏈上的所有的交易都在一天內完成,并且這之后就沒有任何交易記錄了。
案例五:
https://github.com/hop-protocol/hop-airdrop/issues/9?
這25個地址之間存在關聯性,并且這25個地址都在同一段時間內在Arbitrum上鑄造了同一個NFT,同樣的所有地址又在同一段時間內鑄造了UniswapV3LPNFT。并且在Snapshot上面的ArbitrumOdyssey的所有投票中,這些地址投票選項一模一樣。并且每次都是由下圖最中間深色的地址最先操作。
翻看Hop社區舉報的案例,被判定為女巫的主要就是以下兩種行為?
多個錢包之間存在資金關聯
短時間內大量錢包進行類似的操作
埋伏空投如何避免“被女巫”?
1、不要在鏈上進行資金分發/歸集,用交易所代替
避免錢包之間的關聯,這一點最最最最最重要。而相比于使用混幣等方法掩蓋錢包之間的轉賬關系,交易所才是最好的解決方案。
從交易所提幣,資金都是從交易所幾個固定的熱錢包轉出的。而交易所的熱錢包每天都有大量的轉賬行為,所以沒有人會從這里去查女巫,難度系數太大了。
但是向交易所充幣就得注意了,比如我打算把Optimism網絡的ETH充值回交易所,但是我幣安的充值地址就是固定的一個,而我鏈上有30個錢包的資金需要歸集。這里我肯定不能把30個錢包的幣都打到這一個充值地址,因為這樣就成了“多對一”的關系,會被懷疑是女巫攻擊。
那么該如何解決呢?如果我有30個幣安賬戶,有30個充值地址,那當然可以。不過使用OKX進行資金的匯集顯然會更加方便。
因為OKX有一個功能非常好用,每一個主賬戶可以生成20個充值地址,如果你覺得不夠用,那就開通子賬戶,每個賬號最多開通20?個子賬戶。也就是說你開通一個OKX的賬號,最多可以擁有21*?20?=?420個不同的充值地址。
2、避免短時間集中的批量行為,做到操作的隨機化
所謂的隨機化,包括兩方面
交互方面:交互時間隨機化;交互金額隨機化;交互路線隨機化
錢包方面:錢包創建時間隨機化;資金轉賬隨機化;ENS取名隨機化
比如像OptimismQuests,你打算擼50個賬號,你在操作的時候除了要避免資金關聯,在實際交互的時候也可以稍微注意一下:盡量不要在短時間內集中轉賬/做任務,偶爾打亂任務的順序……
總之,如果你是純手工操作的話,基本是可以規避這些問題的。批量化的行為大部分是靠程序去操控的。
3、低調,不要公開自己的地址
擼空投這件事兒當然需要“伙伴”,因為這是一件枯燥的事情,伙伴之間互相監督互相打氣很有必要。但是這也是私底下的事兒,千萬不要在公開場合高調討論自己的交互,更不要去曝光自己的地址。
就如同前面Hop的案例三,不小心公開了自己的地址,就有人去挖他的鏈上操作,只要被人抓到把柄,人家反手就是一個舉報。
4、其它
其它我們可以做的就是盡可能豐富自己的鏈上行為,比如注冊ENS域名,平時多參與snapshot投票,參與gitcoin捐贈……總之就是讓你的賬號像一個真人。
不過最后還是想說,大家在多賬號進行交互的時候,也不需要過于小心翼翼。
比如關于IP的問題,過往發空投的項目其實很少有查IP的,除非是一些免費擼的,或者像?gamefi、元宇宙類的可能會查。另外,少數幾個賬號存在資金關聯,比如四五個賬號之間有互轉,其實也沒大問題的。
Tags:HOPPROPROTCOLDefi Shopping StakeBEPRO價格MetaVisa Protocolbitprotocol
撰寫:ReveloIntel在這一期的《TheDefiant》節目中,CamilaRusso與Fantom聯合創始人AndreCronje一同探討了DeFi、Fantom、監管以及成為一個小眾名.
1900/1/1 0:00:00zkEVM向我們釋放了一個新的生態系統,它建立在最前沿的zk執行層上。但更重要的是,現在我們需要提前了解在該層上即將推出的優質的DeFidapps,以先人一步.
1900/1/1 0:00:00據《華爾街日報》報道,作為7000人裁員計劃的一部分,迪士尼公司已經解散旗下的元宇宙部門。首席執行官RobertIger周一表示,迪士尼的裁員將于本周開始以控制成本并發展“精簡”業務,而元宇宙部.
1900/1/1 0:00:00二季度伊始,加密市場迎來“小陽春”。比推終端數據顯示,比特幣周一盤中自2022年6月10日以來首次突破29,200美元,24小時漲幅近4%,這是繼3月初23,500美元關口之后的一次強勁反彈,與.
1900/1/1 0:00:00編輯:Bowen@Web3CN.ProEigenLayer發布第一階段測試網4月7日消息,以太坊再質押協議EigenLayer在博客文章中宣布,其已發布EigenLayer協議第一階段測試網.
1900/1/1 0:00:00關于人工智能,尤其是像ChatGPT這樣的大型語言模型的最新發展,社會上存在著極大的夸張。此類技術對工作的實質影響也值得關注.
1900/1/1 0:00:00