什么是Sybil Attack女巫攻击？典型的防女巫攻击案例

防止女巫攻击这一件事情，相信是最令区块链项目头疼的地方。如何在防女巫和防误杀中，寻找一个平衡点，就需要每一个项目和区块链参与者一起寻找解决方案。

本文将以此为出发点，看一下区块链常见的女巫攻击类型，以及几个比较知名的防范女巫攻击的案例。

什么是Sybil Attack女巫攻击

指攻击者透过创建大量的假身份或节点，试图占据区块链网路的控制权。女巫攻击常被用来操纵投票系统、分散式共识机制、身份验证系统等，从而影响整个区块链系统的正常运作，同时也影响链上交互的公平性。

小知识：女巫攻击（Sybil Attack ）名词的原意其实来自于Flora Rheta Schreiber 在1973年出版的《Sybil》讲述了一个患有离解性身分障碍并据称有16种不同性格的女人的故事。

常见的女巫攻击包括以下几种：

• 社交网路攻击：攻击者在社交网路上创建多个假帐号，并透过这些假帐号与其它使用者互动，进而扩大其影响力。
• 漏洞攻击：攻击者利用区块链系统的漏洞，创建大量的假身份或节点，并将其添加到区块链网路中。
• PoW/PoS 攻击：都是攻击者利用共识机制的漏洞，创建大量的假节点，从而控制整个区块链网路。

当然，一定也有人会问51%攻击算不算女巫攻击，其实两派论点都有人支持，但我个人的认知是不算。因为我认为两者有很明显的差异，这边以投票来举例：

• 51%攻击：在总票数不变的情况下，一个人掌握过半的选票（节点）。
• 女巫攻击：一人分饰多角，创造出比原有投票人数多的身份，来让自己取得更多的票数。整体来说，女巫攻击是区块链系统中一个重要的安全问题，需要区块链从业者和研究人员不断探索解决方案，保障区块链系统的安全性和稳定性。
• 
  图片来源：Binance Academy

典型的防女巫攻击（Sybil Resistance）案例

Gitcoin 推出Gitcoin Passport 

Gitcoin 前几轮就是典型的被女巫攻击的受害者，因为其原本的平方募资法（Quadratic Funding, QF）机制，让许多真心要做事的项目拿不到好的分配，反而是女巫攻击后的项目，得到了最多的配额，但是又不一定会持续为以太坊的基础建设而努力。

所以后来才从原本的不受限制，到去年9 月采用Trust Bonus，再到今年Alpha Round 开始全面采用Passport。

最初是因为Gitcoin 的自身需求创建了Passport：为了保护Gitcoin 的Grants 免受女巫攻击，以便只有真正的人可以帮助决定哪些项目可以从共享匹配池中获得资金。现在也开放DApp 导入，透过Passport 分数来限制女巫参与活动。

并鼓励所有参与者努力参与链上交互以及链下的身份维护，以此获得更高的积分；同时，也打造属于自己在网际网路上的公民护照。

Arbitrum 空投

Arbitrum 的空投应该是今年最激励人心的事情了。

虽然也是一样采用积分制度，来判断每一个参与者的钱包可以获得多少的配额，但，其为了防止女巫领取大部分的代币，也算是用心良苦，这边来看一下他制定了哪一些规则：

• 如果空投接收者的钱包交易全部发生在48 小时内，则减去1 分。
• 如果空投接收者的钱包余额少于0.005 ETH，并且钱包没有与超过一个智能合约交互，则减去一分。
• 如果空投接收者的钱包地址在Hop Protocol 赏金计划期间被识别为Sybil 地址，则该接收者将被取消资格。

前两点完全可以理解，这样的确可以有效杀掉一些短期冲交易量和交互，然后就放着不管的钱包地址，不过第三点是最多人诟病的部分；绝大多数的说法是，去年6 月进行的「Arbitrum Odyssey」活动，许多人都是透过Hop Protocol 参与交互，有人质疑因此被列为女巫帐号非常不公平。

但真是如此吗？规则所提到的「Hop Protocol 赏金计划」的时间是2022 年5 月，而那时候就有列过一批女巫帐号，Arbitrum 参考的依据是这个，而非是后来6 月所推出「Arbitrum Odyssey」。所以抱怨这一点的人，大多数不求查证，以讹传讹的人。

当然，虽然仍有人抱怨Arbitrum 空投策略的缺陷；的确，我们仍然看到不少羊毛档获得大量的配额，但我认为Arbitrum 这样的机制，已经尽力的去杜绝女巫地址了。

Link3 女巫新规则

从前言可以看到，原本CyberConnect Fan Club 的好意，最后被女巫帐号搅乱，导致奖励池的分配不公平，使得参与活动的用户越来越少。因此Link3 才在5 月10 日公告最新的女巫规则，希望可以让「活跃用户」能够再度参与到活动当中。

而规则也很好懂，将奖励池分为主池（70%）和副池（30%），并引入信用点（Credit Points）系统。信用点达到24 分的用户才有资格参与主池抽奖。

信用点的计算方式：

• Link3 个人档案完成度（共1.67分）添加头像、显示名称、基本信息+1.67
• Gitcoin Passport 分数（总100分）
• 付费CyberProfile（共3.34分）CyberProfile 长度小于或等于12 个字符+1.67；CyberProfile 长度小于或等于6 个字符+1.67
• Link3 活动W3ST 持有量（共6.68分）持有10 个+1.67；持有50 个+1.67；持有100 个+1.67；持有500 个+1.67。

从这边可以看到Link3 也是将Gitcoin Passport 列入其中，并将W3ST 的持有数量列入主要计分标准，为得就是让真正有在参与各项活动的用户，能够得到更高的分数，虽然取得分数的门槛略高。但如果是时常参与链上交互活动的人，Gitcoin Passport 要达到24 分以上，真的不会太难。

所以，无论你有没有参与过CyberConnect Fan Club，都蛮推荐来体验看看的。

结论

防止女巫攻击这一件事情，相信是最令区块链项目头疼的地方。门槛太高，也可以导致部分用户无法参与，而降低参与用户数量；门槛太低，又怕被工作室和羊毛档找到漏洞去攻击。因此，如何在防女巫和防误杀中，寻找一个平衡点，就需要每一个项目和区块链参与者一起寻找解决方案。

也是因为如此，Gitcoin 的Beta Round 才特别开了一个「The Phantom Menace」的分类，为的就是鼓励那些愿意研究防女巫攻击技术的项目，能够获得一笔资金去帮助其发展，并为整个生态系建立良好的基础建设。而目前我看到做得最理想的，就是本文提到的Gitcoin Passport。

Tags：

转载请注明出处：https://www.eoje.cn/qklzs/2842.html