原文作者:Kyle Weiss,Gitcoin 首席运营官 译者:Azuma,Odaily 星球日报
女巫攻击(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题,它破坏了去中心化网络的信任度和完整性。
去中心化机制依赖于一个「唯一身份假设」而运作——每个参与者在网络上都拥有一个独立的身份,且不同身份之间有着平等的声音——然而,当单个用户通过女巫攻击创建了多个虚假身份并操纵系统时,这一假设就不再成立了。
通过女巫攻击,一名用户可以创建多个虚假地址,继而获得远超过单个地址的空投奖励。这种行为扭曲了奖励的分配比例,破坏了原本的空投计划,而该计划本该起到激励真实用户的作用。
美大学教授重新上传Tornado Cash代码至GitHub:金色财经报道,美国约翰霍普金斯大学计算机科学教授Matthew Green以教学和研究的目的在 GitHub上重新上传了Tornado Cash代码,Matthew Green称,在我作为约翰霍普金斯大学的研究员和讲师的工作中,我多次使用Tornado Cash和Tornado Nova源代码来教授与加密货币隐私和零知识技术相关的概念。我的学生从代码中构建了令人惊叹的项目。此源代码的丢失或可用性降低将对科学和技术界造成伤害。
此外,我对Github决定的影响感到不安。Github是一家私人公司,当然它可以因任何被认为违反其服务条款的行为而暂停用户。同时,很难相信Github的决定与政府的行动无关。在我看来,Github更有可能审查Tornado Cash代码存储库,作为他们根据OFAC命令直接执行的风险缓解程序的一部分。更关键的是:我相信这种受保护言论的删除是OFAC行动的可预见结果,财政部很容易预见并采取措施避免这一结果。[2022/8/24 12:45:46]
Gitcoin 的二次匹配机制和投票机制也依赖于上文的「唯一身份假设」而运作,如果不对女巫攻击加以抵御,选票和资金或将不成比例地被分配给那些意料之外的虚假身份,从而削减了优质参与者本该获得的选票和资金。
动态 | 加密创业公司Bitski筹集180万美元 Galaxy Digital参投:据CoinDesk消息,加密创业公司Bitski于种子轮融资中筹集了180万美元。Galaxy Digital、Winklevoss Capital和Coinbase Ventures参投。据悉,Bitski将致力于帮助开发人员更容易于应用程序中集成加密钱包。[2019/11/13]
本文介绍了一个全新的概念和策略——「造假成本」(Cost of Forgery)。这一概念考虑到了攻击者创造虚假身份时所需要的成本、时间和精力,通过实施该概念,可以放大攻击者的成本,并使正常用户的成本保持在较低水平。如此一来,项目方便可以利用该概念来限制女巫攻击行为。
女巫攻击的类型非常复杂,发起者可能是“科学家”、犯罪组织甚至某个民族国家,动机则可能是利益、娱乐或者纯纯的恶意。这些对手可能会尝试截然不同的攻击策略,比如身份盗窃、IP 操纵、僵尸网络、社会工程攻击、胁迫串通等等,遏制这些攻击的策略各不相同,我们需要的是一个全面的、反脆弱的抵御方法。
声音 | Galaxy Digital CEO:主张通过数字钱包来实现财富再分配:Galaxy Digital首席执行官Mike Novogratz近期接受采访时表示,他主张进行财富再分配来让更多的人参与到财富创造中去:“既然我们身处一个不平衡的世界,那么我们应该并且需要重新分配——以一种完美的方式——通过数字钱包来实现。因为我认为政府实际上并未有效利用资金。”(The Daily Hodl)[2019/10/25]
在我看来,最重要的一件事是需要做到“让攻击成本高于防御成本”,这意味着对系统发动一次成功攻击的成本应该高于对此类攻击进行有效防御的成本。通过从经济效益上抑制攻击者,系统可以更有弹性地应对女巫攻击以及其他类型的欺诈。
抵御女巫攻击的共识要求每个身份都是独立且唯一的。当前,已有一些协议做到了在保证自我主权(在没有中心化第三方参与的情况下创建和控制身份)和隐私(在不泄露个人信息的情况下获取和利用身份)的同时,实现了对女巫攻击的抵御,这三个维度(抵御女巫攻击、保护自我主权、保护隐私)正是去中心化身份所面临的三难困境。
动态 | Digital Bazaar致力于利用全球标准进行组织身份验证的区块链解决方案:Digital Bazaar宣布与GS1 US、SecureKey和TradeLens合作,实施利用全球标准进行组织身份验证的区块链解决方案。[2019/9/4]
为了解决女巫攻击挑战并建立一个可靠的身份识别系统,在构建女巫攻击抵御系统时需要考虑到安全性、效率、可扩展性等三个因素之间的平衡。虽然更高的安全性可以实现更好的抵御效果,但这却会限制系统的效率和可扩展性,反之优先考虑效率和可扩展性也可能会导致更弱的抵御效果,因此,能否在这些不同因素间找到最佳平衡对于能够构建一个可抵御女巫攻击的去中心化身份系统而言至关重要。这也是为什么,解决女巫攻击问题没有单一的答案,而是会存在多种方法。
在 Gitcoin Passport(Gitcoin 开发的链上身份凭证系统)中,团队使用了两种机制来评估用户的独立身份:Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成就(比如是否已验证 Twitter 或 Google 账户,是否持有 GTC 或 ETH,是否曾参加过 Gitcoin Grants)分配权重,进而 Passport 计算持有者的综合分数。分数可以决定 Passport 持有者是否可解锁某些权利、功能或其他好处。比如,想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格,捐赠者的综合分数至少要达到 15 以上。
GitHub 90天提交排名:NULS反超EOS居于榜首:据CryptoMiso消息,NULS反超EOS成为提交排名的第一名。排名前十币种分别是:NULS,EOS,TRX,RHOC,ZSC,ZRX,MOT,SKY,AION,LSK。另外BTC排名第26;ETH排名第63;BCH排名第49;ETC排名第52;XRP排名第124;LTC排名第268。NULS全球均价为3.95美元,跌幅6.06%。[2018/6/1]
在下一阶段的发展中,Gitcoin Passport 团队正在探索将「造假成本」概念作为另一种机制来帮助项目设计其女巫防御系统。「造假成本」 提供了一些设计选择,比如利用易于理解的指标来安全地分发空投。
「造假成本」概念本质上是一种让攻击者伪造身份变得更加昂贵的策略,其关键点在于将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过提高造假的成本,攻击者不太可能从事欺诈行为,从而提高了系统的安全性。
如果说「造假成本」的主要策略就是拉高攻击者的成本,同时使普通用户的成本保持在较低水平,那么我们需要做的就是创建一种攻击比防御更昂贵的系统。以下是目前构建抵御女巫攻击的四种主要方法:
1. 基于政府签发的身份证明(驾照、护照、身份证等)验证;
2. 基于生物特征信息(面部扫描、指纹或视网膜扫描等)验证;
3. 当面(会议、聚会等)验证;
4. 基于社会/信任网络(Web2 账户、Web3 账户、NFT、ENS 等)验证。
在未来版本的 Gitcoin Passport 中,我们将根据这四个办法对不同的行为进行分类验证,以确保多种机制到位,因为没有单一的解决方案可以完全防止女巫攻击,使用多种机制可以使系统更能抵抗不同类型的攻击。
尽管「造假成本」概念可能会很有效果,但如果系统中造假的总成本等于系统中的资金量,那么可能会使得只有富有的个人才有机会获得身份。这提出了一个潜在的挑战,即可能会不可避免地导致“富豪化”结果,因此需要优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。
任何抵御女巫攻击的计划都可以在一定代价下被破解,所以项目方需要将重点放在确定可接受的欺诈程度上;个人应可以更有效地通过适当渠道获得反女巫认证,而不用在灰色或黑市上购买;虽然需要将造假成本设计在较高水平之上,但也要注意保持平衡,以免导致真实用户完成获得验证。
值得注意的是,可抵御女巫攻击的身份系统仍然容易受到串通行为攻击(比如贿赂)。对于一个理想的系统而言,TCB(总贿赂成本)和 TCF(总造假成本)必须大于该系统内公民可以获得的奖励数量。虽然基于成本的度量在打击造假行为时是必不可少的,但它们并不总是防止造假的最有效方法,如果潜在的非经济利益超过了成本,攻击者可能仍然愿意去承担一定的成本损耗。比如,想要推广自家项目的对手方可能愿意花费时间和资源来创建多个假身份,即使造假的成本相当高,此外,拥有巨大财务资源优势的对手可能也愿意承担高成本,以获得有价值的利益或特权。
幸运的是,还有其他机制可以帮助我们减少这些攻击,Gitcoin 也已意识到,只有采用多种解决方案才能在与攻击者的战斗中保持优势。
「造假成本」概念为社区提供了一种更精细和直观的方法来设计女巫抵御系统的安全性、效率和可扩展性。
我们很乐意从社区收集更多相关反馈。如果您在 Dapps 中使用了 Gitcoin Passport 或打算集成它,请让我们知道综合打分情况与造假成本之间的对比情况。最后补充一点,随着技术的进步,某些人身份证明的机制(如反向图灵测试)已变得更容易受到人工智能的破坏,这也可能会对「造假成本」的方法及设计产生重大影响。
Odaily星球日报
媒体专栏
阅读更多
金色早8点
金色财经 子木
欧科云链
比推BitpushNews
-R3PO
深潮TechFlow
MarsBit
Biteye
肖飒lawyer
PANews
Foresight News
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。