原文作者:Kyle Weiss,Gitcoin 首席运营官 译者:Azuma,Odaily 星球日报
女巫进犯(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题,它破坏了去中心化网络的信赖度和完整性。
去中心化机制依赖于一个「仅有身份假定」而运作——每个参与者在网络上都拥有一个独立的身份,且不同身份之间有着平等的声音——但是,当单个用户经过女巫进犯创立了多个虚伪身份并操作体系时,这一假定就不再成立了。
经过女巫进犯,一名用户能够创立多个虚伪地址,继而取得远超过单个地址的空投奖赏。这种行为扭曲了奖赏的分配比例,破坏了本来的空投方案,而该方案本该起到激励实在用户的作用。
Gitcoin 的二次匹配机制和投票机制也依赖于上文的「仅有身份假定」而运作,假如不对女巫进犯加以抵挡,选票和资金或将不成比例地被分配给那些意料之外的虚伪身份,然后削减了优质参与者本该取得的选票和资金。
本文介绍了一个全新的概念和战略——「造假本钱」(Cost of Forgery)。这一概念考虑到了进犯者创造虚伪身份时所需求的本钱、时间和精力,经过施行该概念,能够放大进犯者的本钱,并使正常用户的本钱坚持在较低水平。如此一来,项目方便能够运用该概念来限制女巫进犯行为。
破局的关键点在哪?
女巫进犯的类型非常复杂,发起者或许是“科学家”、违法安排甚至某个民族国家,动机则或许是利益、文娱或许纯纯的歹意。这些对手或许会尝试天壤之别的进犯战略,比方身份盗窃、IP 操作、僵尸网络、社会工程进犯、胁迫勾结等等,遏制这些进犯的战略各不相同,咱们需求的是一个全面的、反脆弱的抵挡办法。
在我看来,最重要的一件事是需求做到“让进犯本钱高于防护本钱”,这意味着对体系发起一次成功进犯的本钱应该高于对此类进犯进行有效防护的本钱。经过从经济效益上按捺进犯者,体系能够更有弹性地应对女巫进犯以及其他类型的诈骗。
“安全性、功率、可扩展性”间的平衡
抵挡女巫进犯的共识要求每个身份都是独立且仅有的。当前,已有一些协议做到了在保证自我主权(在没有中心化第三方参与的状况下创立和操控身份)和隐私(在不泄露个人信息的状况下获取和运用身份)的一起,完成了对女巫进犯的抵挡,这三个维度(抵挡女巫进犯、维护自我主权、维护隐私)正是去中心化身份所面临的三难困境。
为了处理女巫进犯应战并树立一个牢靠的身份识别体系,在构建女巫进犯抵挡体系时需求考虑到安全性、功率、可扩展性等三个要素之间的平衡。虽然更高的安全性能够完成更好的抵挡作用,但这却会限制体系的功率和可扩展性,反之优先考虑功率和可扩展性也或许会导致更弱的抵挡作用,因此,能否在这些不同要素间找到最佳平衡关于能够构建一个可抵挡女巫进犯的去中心化身份体系而言至关重要。这也是为什么,处理女巫进犯问题没有单一的答案,而是会存在多种办法。
Gitcoin Passport 的行动
在 Gitcoin Passport(Gitcoin 开发的链上身份凭证体系)中,团队运用了两种机制来评估用户的独立身份:Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成果(比方是否已验证 Twitter 或 Google 账户,是否持有 GTC 或 ETH,是否曾参加过 Gitcoin Grants)分配权重,从而 Passport 计算持有者的归纳分数。分数能够决议 Passport 持有者是否可解锁某些权力、功能或其他优点。比方,想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格,捐赠者的归纳分数至少要到达 15 以上。
鄙人一阶段的发展中,Gitcoin Passport 团队正在探索将「造假本钱」概念作为另一种机制来帮助项目规划其女巫防护体系。「造假本钱」 提供了一些规划选择,比方运用易于了解的目标来安全地分发空投。
怎么落地「造假本钱」概念
「造假本钱」概念本质上是一种让进犯者伪造身份变得愈加贵重的战略,其关键点在于将伪造身份所需的资源、时间和精力与施行防护的本钱进行比较。经过进步造假的本钱,进犯者不太或许从事诈骗行为,然后进步了体系的安全性。
假如说「造假本钱」的首要战略就是拉高进犯者的本钱,一起使普通用户的本钱坚持在较低水平,那么咱们需求做的就是创立一种进犯比防护更贵重的体系。以下是目前构建抵挡女巫进犯的四种首要办法:
1. 依据政府签发的身份证明(驾照、护照、身份证等)验证;
2. 依据生物特征信息(面部扫描、指纹或视网膜扫描等)验证;
3. 当面(会议、聚会等)验证;
4. 依据社会/信赖网络(Web2 账户、Web3 账户、NFT、ENS 等)验证。
在未来版本的 Gitcoin Passport 中,咱们将依据这四个办法对不同的行为进行分类验证,以保证多种机制到位,因为没有单一的处理方案能够彻底避免女巫进犯,运用多种机制能够使体系更能抵抗不同类型的进犯。
潜在缺陷
尽管「造假本钱」概念或许会很有作用,但假如体系中造假的总本钱等于体系中的资金量,那么或许会使得只有富有的个人才有机会取得身份。这提出了一个潜在的应战,即或许会不可避免地导致“富豪化”结果,因此需求优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。
给项目方的主张
任何抵挡女巫进犯的方案都能够在必定价值下被破解,所以项目方需求将要点放在确定可接受的诈骗程度上;个人应能够更有效地经过适当途径取得反女巫认证,而不用在灰色或黑市上购买;虽然需求将造假本钱规划在较高水平之上,但也要注意坚持平衡,以免导致实在用户完成取得验证。
值得注意的是,可抵挡女巫进犯的身份体系仍然简单受到勾结行为进犯(比方贿赂)。关于一个抱负的体系而言,TCB(总贿赂本钱)和 TCF(总造假本钱)必须大于该体系内公民能够取得的奖赏数量。虽然依据本钱的度量在冲击造假行为时是必不可少的,但它们并不总是避免造假的最有效办法,假如潜在的非经济利益超过了本钱,进犯者或许仍然乐意去承当必定的本钱损耗。比方,想要推行自家项目的对手方或许乐意花费时间和资源来创立多个假身份,即便造假的本钱相当高,此外,拥有巨大财务资源优势的对手或许也乐意承当高本钱,以取得有价值的利益或特权。
幸运的是,还有其他机制能够帮助咱们削减这些进犯,Gitcoin 也已意识到,只有选用多种处理方案才能在与进犯者的战役中坚持优势。
共谋共策
「造假本钱」概念为社区提供了一种更精细和直观的办法来规划女巫抵挡体系的安全性、功率和可扩展性。
咱们很乐意从社区收集更多相关反馈。假如您在 Dapps 中运用了 Gitcoin Passport 或打算集成它,请让咱们知道归纳打分状况与造假本钱之间的对比状况。最后弥补一点,随着技术的进步,某些人身份证明的机制(如反向图灵测验)已变得更简单受到人工智能的破坏,这也或许会对「造假本钱」的办法及规划发生重大影响。
此时快讯
【Lookonchain:地址“0x7EFF”正在操纵ARPA的价格】金色财经报道,据Lookonchain监测,地址“0x7EFF”正在操纵ARPA的价格。他在过去一周通过多个地址从Binance提取了ARPA ,然后在 3 小时前通过多个地址将ARPA存入Binance。ARPA的价格刚刚暴跌了25%。一个小时前,ARPA从地址“0xB32e”转出,然后通过多个地址存入Binance 。
北京时间14:47之前,地址“0x7EFF”还在买入ARPA,之后开始将ARPA存入Binance。在过去的3小时内,已有超过5000万枚ARPA(价值500万美元)存入Binance 。
