原文作者:Kyle Weiss,Gitcoin 首席运营官 译者:Azuma,Odaily 星球日报
女巫攻击(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题,它破坏了去中心化网络的信任度和完整性。
去中心化机制依赖于一个「唯一身份假设」而运作——每个参与者在网络上都拥有一个独立的身份,且不同身份之间有着平等的声音——然而,当单个用户通过女巫攻击创建了多个虚假身份并操纵系统时,这一假设就不再成立了。
通过女巫攻击,一名用户可以创建多个虚假地址,继而获得远超过单个地址的空投奖励。这种行为扭曲了奖励的分配比例,破坏了原本的空投计划,而该计划本该起到激励真实用户的作用。
Digital Asset Research 将为彭博终端用户提供 50 种加密资产的价格数据信息:金色财经消息, 加密资产数据提供商 Digital Asset Research 宣布与彭博(Bloomberg)建立合作伙伴关系,为彭博终端用户提供 50 种加密资产的价格数据信息。
Digital Asset Research(DAR)是一家专门为机构客户(包括资产管理公司、银行、托管人、家族办公室、金融科技公司、基金管理人、对冲基金和风险投资公司)提供数字资产数据、见解和研究的提供商。(prnewswire)[2022/6/22 4:43:48]
Gitcoin 的二次匹配机制和投票机制也依赖于上文的「唯一身份假设」而运作,如果不对女巫攻击加以抵御,选票和资金或将不成比例地被分配给那些意料之外的虚假身份,从而削减了优质参与者本该获得的选票和资金。
本文介绍了一个全新的概念和策略——「造假成本」(Cost of Forgery)。这一概念考虑到了攻击者创造虚假身份时所需要的成本、时间和精力,通过实施该概念,可以放大攻击者的成本,并使正常用户的成本保持在较低水平。如此一来,项目方便可以利用该概念来限制女巫攻击行为。
YFI创始人Andre Cronje参与Gitcoin Stewards治理:YFI创始人Andre Cronje发推称自己已申请参与Gitcoin Stewards治理。根据其发布的自我介绍内容,“Gitcoin用户名:@andrecronje | Gitcoin。ETH地址:andrecronje.eth。
意向声明/价值观和加入理由:我很早就认同Gitcoin的理念,对我来说,从DeFi开始最困难的事情之一就是试图获得审计甚至部署的资金。Gitcoin本身帮助我支付了大量的费用,并允许我构建自己已经启动的大多数项目。展望未来,我希望继续传递善意。开源资金很容易被滥用,所以我想提供我的技术专长和见解来帮助确定高质量的候选人并提供指导,同时辨别出机会主义者。Web3资格/技能:我对智能合约和Solidity有所涉猎。”[2021/6/1 23:02:03]
女巫攻击的类型非常复杂,发起者可能是“科学家”、犯罪组织甚至某个民族国家,动机则可能是利益、娱乐或者纯纯的恶意。这些对手可能会尝试截然不同的攻击策略,比如身份盗窃、IP 操纵、僵尸网络、社会工程攻击、胁迫串通等等,遏制这些攻击的策略各不相同,我们需要的是一个全面的、反脆弱的抵御方法。
声音 | Galaxy Digital创始人:因为供应问题,XRP今年将继续表现不佳:Galaxy Digital创始人、亿万富翁Mike Novogratz表示,XRP去年表现不佳,因为供应问题,它今年将再次表现不佳。“Ripple拥有600亿枚XRP,这太多了。”另外,Novogratz还将XRP的集中化设置与比特币进行了对比,“XRP不像比特币在采矿业那样被分发,你有一个巨大的资金池,而它是持续的卖家。(Coindesk)[2020/2/5]
在我看来,最重要的一件事是需要做到“让攻击成本高于防御成本”,这意味着对系统发动一次成功攻击的成本应该高于对此类攻击进行有效防御的成本。通过从经济效益上抑制攻击者,系统可以更有弹性地应对女巫攻击以及其他类型的欺诈。
抵御女巫攻击的共识要求每个身份都是独立且唯一的。当前,已有一些协议做到了在保证自我主权(在没有中心化第三方参与的情况下创建和控制身份)和隐私(在不泄露个人信息的情况下获取和利用身份)的同时,实现了对女巫攻击的抵御,这三个维度(抵御女巫攻击、保护自我主权、保护隐私)正是去中心化身份所面临的三难困境。
动态 | Galaxy Digital第一季度损失超过1.3亿美元:据CCN报道,由亿万富翁对冲基金经理Mike Novogratz创立的加密货币投资公司Galaxy Digital在第一季度表现令人失望,损失了超过1.3亿美元。根据该公司周四发布的经过审计的财务报表,该公司计划在多伦多证券交易所创业板(TSX-V)上市,第一季度已实现和未实现的净亏损总计1.34亿美元,损失来自其加密货币和股权投资。[2018/7/27]
为了解决女巫攻击挑战并建立一个可靠的身份识别系统,在构建女巫攻击抵御系统时需要考虑到安全性、效率、可扩展性等三个因素之间的平衡。虽然更高的安全性可以实现更好的抵御效果,但这却会限制系统的效率和可扩展性,反之优先考虑效率和可扩展性也可能会导致更弱的抵御效果,因此,能否在这些不同因素间找到最佳平衡对于能够构建一个可抵御女巫攻击的去中心化身份系统而言至关重要。这也是为什么,解决女巫攻击问题没有单一的答案,而是会存在多种方法。
DigitalTown成为首家通过加密货币被收购的美国公司:Pithia已经宣布向美国证券交易委员会(SEC)提交了一份受益所有权报告。该公司在收购上市公司Digital Town的股份后提交了这一申请,这是美国首次出现以加密货币而不是法定货币进行支付的公司收购。据悉,Pithia和DigitalTown于2018年5月15日达成协议,向该公司投资240万美元。DigitalTown鼓励消费者在超过22,000个城市购买本地商品,从而帮助当地社区繁荣发展。该公司已经宣布向RChain迁移。[2018/6/10]
在 Gitcoin Passport(Gitcoin 开发的链上身份凭证系统)中,团队使用了两种机制来评估用户的独立身份:Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成就(比如是否已验证 Twitter 或 Google 账户,是否持有 GTC 或 ETH,是否曾参加过 Gitcoin Grants)分配权重,进而 Passport 计算持有者的综合分数。分数可以决定 Passport 持有者是否可解锁某些权利、功能或其他好处。比如,想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格,捐赠者的综合分数至少要达到 15 以上。
在下一阶段的发展中,Gitcoin Passport 团队正在探索将「造假成本」概念作为另一种机制来帮助项目设计其女巫防御系统。「造假成本」 提供了一些设计选择,比如利用易于理解的指标来安全地分发空投。
「造假成本」概念本质上是一种让攻击者伪造身份变得更加昂贵的策略,其关键点在于将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过提高造假的成本,攻击者不太可能从事欺诈行为,从而提高了系统的安全性。
如果说「造假成本」的主要策略就是拉高攻击者的成本,同时使普通用户的成本保持在较低水平,那么我们需要做的就是创建一种攻击比防御更昂贵的系统。以下是目前构建抵御女巫攻击的四种主要方法:
1. 基于政府签发的身份证明(驾照、护照、身份证等)验证;
2. 基于生物特征信息(面部扫描、指纹或视网膜扫描等)验证;
3. 当面(会议、聚会等)验证;
4. 基于社会/信任网络(Web2 账户、Web3 账户、NFT、ENS 等)验证。
在未来版本的 Gitcoin Passport 中,我们将根据这四个办法对不同的行为进行分类验证,以确保多种机制到位,因为没有单一的解决方案可以完全防止女巫攻击,使用多种机制可以使系统更能抵抗不同类型的攻击。
尽管「造假成本」概念可能会很有效果,但如果系统中造假的总成本等于系统中的资金量,那么可能会使得只有富有的个人才有机会获得身份。这提出了一个潜在的挑战,即可能会不可避免地导致“富豪化”结果,因此需要优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。
任何抵御女巫攻击的计划都可以在一定代价下被破解,所以项目方需要将重点放在确定可接受的欺诈程度上;个人应可以更有效地通过适当渠道获得反女巫认证,而不用在灰色或黑市上购买;虽然需要将造假成本设计在较高水平之上,但也要注意保持平衡,以免导致真实用户完成获得验证。
值得注意的是,可抵御女巫攻击的身份系统仍然容易受到串通行为攻击(比如贿赂)。对于一个理想的系统而言,TCB(总贿赂成本)和 TCF(总造假成本)必须大于该系统内公民可以获得的奖励数量。虽然基于成本的度量在打击造假行为时是必不可少的,但它们并不总是防止造假的最有效方法,如果潜在的非经济利益超过了成本,攻击者可能仍然愿意去承担一定的成本损耗。比如,想要推广自家项目的对手方可能愿意花费时间和资源来创建多个假身份,即使造假的成本相当高,此外,拥有巨大财务资源优势的对手可能也愿意承担高成本,以获得有价值的利益或特权。
幸运的是,还有其他机制可以帮助我们减少这些攻击,Gitcoin 也已意识到,只有采用多种解决方案才能在与攻击者的战斗中保持优势。
「造假成本」概念为社区提供了一种更精细和直观的方法来设计女巫抵御系统的安全性、效率和可扩展性。
我们很乐意从社区收集更多相关反馈。如果您在 Dapps 中使用了 Gitcoin Passport 或打算集成它,请让我们知道综合打分情况与造假成本之间的对比情况。最后补充一点,随着技术的进步,某些人身份证明的机制(如反向图灵测试)已变得更容易受到人工智能的破坏,这也可能会对「造假成本」的方法及设计产生重大影响。
Odaily星球日报
媒体专栏
阅读更多
金色早8点
金色财经 子木
欧科云链
比推BitpushNews
-R3PO
深潮TechFlow
MarsBit
Biteye
肖飒lawyer
PANews
Foresight News
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。