原文作者:Gitcoin 首席运营官 Kyle Weiss 译者:Odaily 星球日报 Azuma
女巫攻击(Sybil attacks,在空投届俗称“撸毛”)是一个非常严重的问题,它破坏了去中心化网络的信任度和完整性。
去中心化机制依赖于一个「唯一身份假设」而运作——每个参与者在网络上都拥有一个独立的身份,且不同身份之间有着平等的声音——然而,当单个用户通过女巫攻击创建了多个虚假身份并操纵系统时,这一假设就不再成立了。
通过女巫攻击,一名用户可以创建多个虚假地址,继而获得远超过单个地址的空投奖励。这种行为扭曲了奖励的分配比例,破坏了原本的空投计划,而该计划本该起到激励真实用户的作用。
Gitcoin 的二次匹配机制和投票机制也依赖于上文的「唯一身份假设」而运作,如果不对女巫攻击加以抵御,选票和资金或将不成比例地被分配给那些意料之外的虚假身份,从而削减了优质参与者本该获得的选票和资金。
马斯克回应查理芒格关于加密货币言论的推文:我们可能会死,但无论如何都值得一试:2月17日消息,马斯克回应一条关于芒格最新的批评加密货币言论的推文,加密货币应该被禁止,并称加密货币就像“性病”一样令人不齿。马斯克评论称,“2009年,我曾和芒格共进午餐,他向整个餐桌的人说特斯拉将如何失败。这让我很难过,但我告诉他,我同意所有这些理由,我们可能会死,但无论如何都值得一试。[2022/2/17 9:57:26]
本文介绍了一个全新的概念和策略——「造假成本」(Cost of Forgery)。这一概念考虑到了攻击者创造虚假身份时所需要的成本、时间和精力,通过实施该概念,可以放大攻击者的成本,并使正常用户的成本保持在较低水平。如此一来,项目方便可以利用该概念来限制女巫攻击行为。
女巫攻击的类型非常复杂,发起者可能是“科学家”、犯罪组织甚至某个民族国家,动机则可能是利益、娱乐或者纯纯的恶意。这些对手可能会尝试截然不同的攻击策略,比如身份盗窃、IP 操纵、僵尸网络、社会工程攻击、胁迫串通等等,遏制这些攻击的策略各不相同,我们需要的是一个全面的、反脆弱的抵御方法。
声音 | 王小云:区块链技术创造性地解决了如何在无许可环境下达成共识的问题:12月7日,由中国科学院学部主办的“区块链技术与应用”科学与技术前沿论坛在深圳举行。中国科学院院士、国际密码协会会士王小云在题为“Hash函数与区块链技术”的演讲中表示,密码是保障网络与信息安全的核心技术和基础支撑,加密算法、数字签名算法和Hash函数是密码学三类基础算法,其中Hash函数是区块链的起源性技术。她指出,区块链技术的出现,创造性地解决了如何在无许可环境下达成共识的问题。区块链共识协议的一致性,确保了所有用户记录的区块链数据相同;链增长速度,确保了区块链区块数量增长速度的稳定;链质量,确保链区块链中敌手生成的区块数量不超过可容忍比例。[2019/12/7]
在我看来,最重要的一件事是需要做到“让攻击成本高于防御成本”,这意味着对系统发动一次成功攻击的成本应该高于对此类攻击进行有效防御的成本。通过从经济效益上抑制攻击者,系统可以更有弹性地应对女巫攻击以及其他类型的欺诈。
声音 | 虫哥:不管市场如何 两个原因让我对比特币的信仰不会变:今天江西世星科技在江西抚州才都电子科技产业园举行厂区开业典礼。原壹比特创始人、亿算科技创始人虫哥分享称,半导体芯片在人才集中的大城市完成研发,然后在内地城市落地更划算。而其目前关注两块业务。第一是从近阈值技术研发高算力低功耗制定芯片。第二,研发 POC容量证明这类新型的绿色环保节能 POW挖矿共识机制。2018年数字货币进入寒冬,但他依然拥有坚定信念,理由有两个。其一,比特币第一次用密码学确保了个人数字资产不可侵犯。第二,比特币基于去中心化、数量有限、不可伪造等特点,是极具流动性的、可抵御通货膨胀的收藏品。[2019/1/11]
抵御女巫攻击的共识要求每个身份都是独立且唯一的。当前,已有一些协议做到了在保证自我主权(在没有中心化第三方参与的情况下创建和控制身份)和隐私(在不泄露个人信息的情况下获取和利用身份)的同时,实现了对女巫攻击的抵御,这三个维度(抵御女巫攻击、保护自我主权、保护隐私)正是去中心化身份所面临的三难困境。
欧链老狼:全球出块节点大致分为三个组,每个组都在预演如何启动EOS网络:EOS超级节点竞选团队欧链的老狼在《欧链·宁话区块链》第二季的节目中称 “全球出块节点大致分为三个组,每个组都在预演如何从无到有启动EOS网络。具体什么时候主网上线,需要大家一起协同来做。或许在某一个预定的时间点,大家觉得有些准备工作没有做好,希望把这个时间点再往后延一点,这种情况是有可能发生的。”[2018/6/2]
为了解决女巫攻击挑战并建立一个可靠的身份识别系统,在构建女巫攻击抵御系统时需要考虑到安全性、效率、可扩展性等三个因素之间的平衡。虽然更高的安全性可以实现更好的抵御效果,但这却会限制系统的效率和可扩展性,反之优先考虑效率和可扩展性也可能会导致更弱的抵御效果,因此,能否在这些不同因素间找到最佳平衡对于能够构建一个可抵御女巫攻击的去中心化身份系统而言至关重要。这也是为什么,解决女巫攻击问题没有单一的答案,而是会存在多种方法。
在 Gitcoin Passport(Gitcoin 开发的链上身份凭证系统)中,团队使用了两种机制来评估用户的独立身份:Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成就(比如是否已验证 Twitter 或 Google 账户,是否持有 GTC 或 ETH,是否曾参加过 Gitcoin Grants)分配权重,进而 Passport 计算持有者的综合分数。分数可以决定 Passport 持有者是否可解锁某些权利、功能或其他好处。比如,想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格,捐赠者的综合分数至少要达到 15 以上。
新华网分析:区块链如何带来个人数据保护“革命”:新华网今晚发表文章《区块链如何带来个人数据保护“革命”》,文章表示大数据时代,个人的数据被认为是黄金般珍贵。个人数据泄漏令人担忧,但绝大部分人不可能因为害怕数据被收集而切断与互联网的联系,而现阶段有责任保管个人信息的企业、学校、酒店、社交网站等往往担责不力。专家们认为,区块链技术作为一种带有加密、信任、点对点、难篡改等特征的“中间件”,有望解决这个难题。
区块链技术的出现令个人数据掌控权从互联网公司转移到用户自己手中,使人人掌控自己的个人数据成为可能。通过它,用户个人数据可以与个人数字身份证相关联,用户可以选择数字身份证是匿名、化名或公开,还可以随时随地从任何设备访问区块链应用平台,控制他们的互联网个人数据。[2018/4/18]
在下一阶段的发展中,Gitcoin Passport 团队正在探索将「造假成本」概念作为另一种机制来帮助项目设计其女巫防御系统。「造假成本」 提供了一些设计选择,比如利用易于理解的指标来安全地分发空投。
「造假成本」概念本质上是一种让攻击者伪造身份变得更加昂贵的策略,其关键点在于将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过提高造假的成本,攻击者不太可能从事欺诈行为,从而提高了系统的安全性。
如果说「造假成本」的主要策略就是拉高攻击者的成本,同时使普通用户的成本保持在较低水平,那么我们需要做的就是创建一种攻击比防御更昂贵的系统。以下是目前构建抵御女巫攻击的四种主要方法:
1. 基于政府签发的身份证明(驾照、护照、身份证等)验证;
2. 基于生物特征信息(面部扫描、指纹或视网膜扫描等)验证;
3. 当面(会议、聚会等)验证;
4. 基于社会/信任网络(Web2 账户、Web3 账户、NFT、ENS 等)验证。
在未来版本的 Gitcoin Passport 中,我们将根据这四个办法对不同的行为进行分类验证,以确保多种机制到位,因为没有单一的解决方案可以完全防止女巫攻击,使用多种机制可以使系统更能抵抗不同类型的攻击。
尽管「造假成本」概念可能会很有效果,但如果系统中造假的总成本等于系统中的资金量,那么可能会使得只有富有的个人才有机会获得身份。这提出了一个潜在的挑战,即可能会不可避免地导致“富豪化”结果,因此需要优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。
任何抵御女巫攻击的计划都可以在一定代价下被破解,所以项目方需要将重点放在确定可接受的欺诈程度上;个人应可以更有效地通过适当渠道获得反女巫认证,而不用在灰色或黑市上购买;虽然需要将造假成本设计在较高水平之上,但也要注意保持平衡,以免导致真实用户完成获得验证。
值得注意的是,可抵御女巫攻击的身份系统仍然容易受到串通行为攻击(比如贿赂)。对于一个理想的系统而言,TCB(总贿赂成本)和 TCF(总造假成本)必须大于该系统内公民可以获得的奖励数量。虽然基于成本的度量在打击造假行为时是必不可少的,但它们并不总是防止造假的最有效方法,如果潜在的非经济利益超过了成本,攻击者可能仍然愿意去承担一定的成本损耗。比如,想要推广自家项目的对手方可能愿意花费时间和资源来创建多个假身份,即使造假的成本相当高,此外,拥有巨大财务资源优势的对手可能也愿意承担高成本,以获得有价值的利益或特权。
幸运的是,还有其他机制可以帮助我们减少这些攻击,Gitcoin 也已意识到,只有采用多种解决方案才能在与攻击者的战斗中保持优势。
「造假成本」概念为社区提供了一种更精细和直观的方法来设计女巫抵御系统的安全性、效率和可扩展性。
我们很乐意从社区收集更多相关反馈。如果您在 Dapps 中使用了 Gitcoin Passport 或打算集成它,请让我们知道综合打分情况与造假成本之间的对比情况。最后补充一点,随着技术的进步,某些人身份证明的机制(如反向图灵测试)已变得更容易受到人工智能的破坏,这也可能会对「造假成本」的方法及设计产生重大影响。
Odaily星球日报
媒体专栏
阅读更多
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Arcane Labs
欧科云链
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。