本文源自:Gitcoin
譯者:Odaily Azuma
譯者:Odaily Azuma
本文源自:Gitcoin
譯者:Odaily Azuma
譯者:Odaily Azuma
通過女巫攻擊,一名用戶可以創建多個虛假地址,繼而獲得遠超過單個地址的空投獎勵。這種行為扭曲了獎勵的分配比例,破壞了原本的空投計劃,而該計劃本該起到激勵真實用戶的作用。
二級標題
Gitcoin 的二次匹配機制和投票機制也依賴於上文的「唯一身份假設」而運作,如果不對女巫攻擊加以抵禦,選票和資金或將不成比例地被分配給那些意料之外的虛假身份,從而削減了優質參與者本該獲得的選票和資金。
破局的關鍵點在哪?
二級標題
女巫攻擊的類型非常複雜,發起者可能是“科學家”、犯罪組織甚至某個民族國家,動機則可能是利益、娛樂或者純純的惡意。這些對手可能會嘗試截然不同的攻擊策略,比如身份盜竊、IP 操縱、殭屍網絡、社會工程攻擊、脅迫串通等等,遏制這些攻擊的策略各不相同,我們需要的是一個全面的、反脆弱的抵禦方法。
“安全性、效率、可擴展性”間的平衡
二級標題
抵禦女巫攻擊的共識要求每個身份都是獨立且唯一的。當前,已有一些協議做到了在保證自我主權(在沒有中心化第三方參與的情況下創建和控制身份)和隱私(在不洩露個人信息的情況下獲取和利用身份)的同時,實現了對女巫攻擊的抵禦,這三個維度(抵禦女巫攻擊、保護自我主權、保護隱私)正是去中心化身份所面臨的三難困境。
在Gitcoin Passport(Gitcoin 開發的鏈上身份憑證系統)中,團隊使用了兩種機制來評估用戶的獨立身份:Gradual Unique Humanity Verification 和Boolean Unique Humanity Verification。這些機制會對用戶的各種行為成就(比如是否已驗證Twitter 或Google 賬戶,是否持有GTC 或ETH,是否曾參加過Gitcoin Grants)分配權重,進而Passport 計算持有者的綜合分數。分數可以決定Passport 持有者是否可解鎖某些權利、功能或其他好處。比如,想要在上一輪的Gitcoin Grants Beta Round 中激活二次匹配資格,捐贈者的綜合分數至少要達到15 以上。
二級標題
如何落地「造假成本」概念
二級標題
二級標題
如何落地「造假成本」概念
「造假成本」概念本質上是一種讓攻擊者偽造身份變得更加昂貴的策略,其關鍵點在於將偽造身份所需的資源、時間和精力與實施防禦的成本進行比較。通過提高造假的成本,攻擊者不太可能從事欺詐行為,從而提高了系統的安全性。
如果說「造假成本」的主要策略就是拉高攻擊者的成本,同時使普通用戶的成本保持在較低水平,那麼我們需要做的就是創建一種攻擊比防禦更昂貴的系統。以下是目前構建抵禦女巫攻擊的四種主要方法:
3. 當面(會議、聚會等)驗證;
二級標題
二級標題
二級標題
潛在缺點
二級標題
二級標題
給項目方的建議
任何抵禦女巫攻擊的計劃都可以在一定代價下被破解,所以項目方需要將重點放在確定可接受的欺詐程度上;個人應可以更有效地通過適當渠道獲得反女巫認證,而不用在灰色或黑市上購買;雖然需要將造假成本設計在較高水平之上,但也要注意保持平衡,以免導致真實用戶完成獲得驗證。
值得注意的是,可抵禦女巫攻擊的身份系統仍然容易受到串通行為攻擊(比如賄賂)。對於一個理想的系統而言,TCB(總賄賂成本)和TCF(總造假成本)必須大於該系統內公民可以獲得的獎勵數量。雖然基於成本的度量在打擊造假行為時是必不可少的,但它們並不總是防止造假的最有效方法,如果潛在的非經濟利益超過了成本,攻擊者可能仍然願意去承擔一定的成本損耗。比如,想要推廣自家項目的對手方可能願意花費時間和資源來創建多個假身份,即使造假的成本相當高,此外,擁有巨大財務資源優勢的對手可能也願意承擔高成本,以獲得有價值的利益或特權。
幸運的是,還有其他機制可以幫助我們減少這些攻擊,Gitcoin 也已意識到,只有採用多種解決方案才能在與攻擊者的戰鬥中保持優勢。
