原作者:Kyle Weiss,Gitcoin首席运营官译者:阿兹马,Odaily星球日报
女巫攻击(在空)是一个非常严重的问题,它破坏了去中心化网络的信任和完整性。
去中心化机制依赖于一种“唯一身份假设”——每个参与者在网络上都有一个独立的身份,不同的身份拥有平等的话语权——然而,当单个用户通过女巫攻击和操纵系统制造多个虚假身份时,这种假设就不再成立了。
通过女巫攻击,一个用户可以创建多个假地址,然后获得远远超过单个地址的空奖励。这种行为扭曲了奖励的分配比例,破坏了原本应该起到激励真实用户作用的空投资计划。
Gitcoin的二次匹配机制和投票机制也依赖于上面提到的“唯一身份假设”。如果女巫攻击得不到抵抗,选票和资金就会不成比例地分配给那些意想不到的虚假身份,从而减少优质参与者本应获得的选票和资金。
本文引入了一个全新的概念和策略——“伪造成本”。这个概念考虑了攻击者创建虚假身份所需的成本、时间和精力。通过实现这一概念,可以放大攻击者的成本,将正常用户的成本控制在较低水平。这样,项目就方便了,可以用这个概念来限制女巫攻击。
破局的关键点是什么?女巫攻击的类型非常复杂。始作俑者可能是“科学家”、犯罪组织甚至是一个民族国家,而动机可能是利益、娱乐或者纯粹的恶意。这些对手可能会尝试完全不同的攻击策略,如身份盗窃、IP操纵、僵尸网络、社会工程攻击、胁迫和共谋等。遏制这些攻击的策略是不同的。我们需要的是一个全面的、反脆弱的防御方法。
在我看来,最重要的是让攻击成本高于防御成本,也就是说对系统发动一次成功攻击的成本应该高于有效防御这种攻击的成本。通过经济地抑制攻击者,系统可以更灵活地响应女巫攻击和其他类型的欺诈。
“安全性、效率和可扩展性”之间的平衡抵抗女巫攻击的共识要求每个身份都是独立的、唯一的。目前,一些协议已经实现了抵抗女巫攻击,同时确保自我* *(在没有集中式第三方参与的情况下创建和控制身份)和隐私(在不泄露个人信息的情况下获取和使用身份)。这三个维度(抵抗女巫攻击、保护自我* *和保护隐私)是去中心化身份面临的三个困境。
为了解决女巫攻击的挑战,建立可靠的身份识别系统,在构建女巫攻击防御系统时需要考虑安全性、效率和可扩展性之间的平衡。虽然更高的安全性可以达到更好的防御效果,但是会限制系统的效率和可扩展性。反之,优先考虑效率和可扩展性也可能导致防御效果减弱。因此,找到这些不同因素之间的最佳平衡对于构建能够抵抗女巫攻击的去中心化身份系统是非常重要的。这就是为什么女巫攻击问题没有单一的答案,而是有很多种方法。
Gitcoin Passport中的git coin Passport Initiative(git coin团队使用了两种机制来评估用户的独立身份:渐进唯一人性验证和布尔唯一人性验证。这些机制会给用户的各种行为成就分配权重(比如是否验证过Twitter或Google账号,是否拥有GTC或ETH,是否参与过Gitcoin资助),然后Passport会计算持有人的综合得分。分数可以决定护照持有人是否可以解锁某些权利、功能或其他福利。例如,要想在最后一轮Gitcoin Grants Beta轮中激活二次配型资格,捐赠者的综合得分必须至少达到15。
在下一阶段的开发中,Gitcoin Passport团队正在探索“伪造成本”的概念,作为帮助该项目设计其女巫防御系统的另一种机制。“假成本”提供了一些设计选项,比如用通俗易懂的指标来安全分配空 investment。
如何实现“伪造成本”的概念“伪造成本”的概念本质上是一种让攻击者伪造身份的成本更高的策略。重点是将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过增加欺诈的成本,攻击者不太可能进行欺诈,从而提高了系统的安全性。
如果“打假成本”的主要策略是增加攻击者的成本,让普通用户的成本保持在较低水平,那么我们需要做的就是打造一个比防御更昂贵的系统。以下是防御女巫攻击的四种主要方法:
1.基于政府颁发的身份证明(驾照、护照、身份证等)的验证。);
2.基于生物信息(面部扫描、指纹或视网膜扫描等)的验证。);
3.面对面(会议、聚会等。)验证;
4.基于社交/信任网络(Web2帐户、Web3帐户、NFT、ENS等)的身份验证。).
在Gitcoin Passport的未来版本中,我们将根据这四种方法对不同的行为进行分类验证,以确保多种机制到位,因为没有单一的解决方案可以完全防止女巫攻击,使用多种机制可以使系统对不同类型的攻击具有更强的抵抗力。
潜在的弊端虽然“欺诈成本”这个概念可能非常有效,但是如果系统中欺诈的总成本等于系统中的资金量,就可能使得只有富裕的个体才有机会获得身份。这就带来了一个潜在的挑战,即它可能不可避免地导致“丰富”的结果,因此必须优先考虑那些资本要求较少的验证机制。经济状况不应该影响身份的获得。
对项目方的建议任何抵抗女巫攻击的计划都可以在一定成本下被破解,因此项目方需要重点确定欺诈的可接受程度;个人应该能够通过适当的渠道更有效地获得防巫认证,而不是在灰色或黑市上购买;虽然需要在更高的层面上设计造假的成本,但也要注意保持平衡,以免造成真实用户完成验证。
值得注意的是,能够抵抗女巫攻击的身份系统仍然容易受到共谋攻击(例如贿赂)。对于一个理想的系统,TCB(总贿赂成本)和TCF(总欺诈成本)必须大于公民在系统中可以获得的奖励数量。虽然基于成本的措施对于打击欺诈至关重要,但它们并不总是防止欺诈的最有效方法。如果潜在的非经济收益超过成本,攻击者可能仍然愿意承担一定的成本损失。比如,对手想要推广自己的项目,可能愿意花时间和资源制造多个假身份,即使造假成本相当高。此外,拥有巨大财力的对手可能愿意承担高昂的成本来获得宝贵的利益或特权。
幸运的是,还有其他机制可以帮助我们减少这些攻击,Gitcoin已经意识到,只有采用多种解决方案,才能在与攻击者的战斗中保持优势。
“欺诈成本”的概念为社区设计女巫防御系统的安全性、效率和可扩展性提供了一种更加精炼和直观的方法。
我们很乐意从社区中收集更多相关的反馈。如果您在Dapps中使用Gitcoin Passport或者打算集成它,请告诉我们综合评分和欺诈成本的对比。最后,随着技术的发展,一些人识别的机制(如反向图灵测试)变得更容易受到人工智能的攻击,这也可能对“打假成本”的方法和设计产生重大影响。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"github反代,Gitcoin COO:如何构建“Web3反撸毛”系统":http://www.guoyinggangguan.com/qkl/146358.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
