分散メカニズムは「一意のアイデンティティの仮定」に基づいて動作します。各参加者はネットワーク上で独立したアイデンティティを持ち、異なるアイデンティティ間で同等の発言権を持ちます。ただし、Sybil 攻撃によって単一のユーザーが作成された場合、複数の偽の場合、この仮定は成り立ちません。 ID が仮定され、システムが操作されます。
この記事では、まったく新しい概念と戦略「偽造のコスト」を紹介します。この概念は、攻撃者が偽の ID を作成するために必要なコスト、時間、労力を考慮しており、この概念を実装することで、攻撃者のコストを増幅し、通常のユーザーのコストを低く抑えることができます。このようにして、プロジェクトはこの概念を使用して Sybil 攻撃を制限できます。
Gitcoin COO: 「Web3 アンチヘア」システムの構築方法
執筆者: Kyle Weiss、Gitcoin COO
** 編集:あづま**
シビル攻撃 (エアドロップ業界では一般的に「髪の毛を引っ張る攻撃」として知られています) は非常に深刻な問題であり、分散型ネットワークの信頼性と完全性を破壊します。
分散メカニズムは「一意のアイデンティティの仮定」に基づいて動作します。各参加者はネットワーク上で独立したアイデンティティを持ち、異なるアイデンティティ間で同等の発言権を持ちます。ただし、Sybil 攻撃によって単一のユーザーが作成された場合、複数の偽の場合、この仮定は成り立ちません。 ID が仮定され、システムが操作されます。
シビル攻撃を通じて、ユーザーは複数の偽のアドレスを作成し、単一のアドレスをはるかに超えるエアドロップ報酬を得ることができます。この行為は報酬の分配を歪め、実際のユーザーにインセンティブを与えるはずの本来のエアドロップ プログラムを台無しにします。
Gitcoin の二次マッチング メカニズムと投票メカニズムも、上記の「一意のアイデンティティの仮定」に基づいて動作します。Sybil 攻撃に抵抗できない場合、投票と資金が予期せぬ偽のアイデンティティに不均衡に分配される可能性があります。受け取ったものはカットされました。
この記事では、まったく新しい概念と戦略「偽造のコスト」を紹介します。この概念は、攻撃者が偽の ID を作成するために必要なコスト、時間、労力を考慮しており、この概念を実装することで、攻撃者のコストを増幅し、通常のユーザーのコストを低く抑えることができます。このようにして、プロジェクトはこの概念を使用して Sybil 攻撃を制限できます。
ゲームを突破する鍵はどこにあるのでしょうか?
シビル攻撃の種類は非常に複雑で、開始者は「科学者」、犯罪組織、さらには国民国家である場合もあり、動機は利益、娯楽、または純粋な悪意である場合もあります。これらの敵対者は、個人情報の盗難、IP 操作、ボットネット、ソーシャル エンジニアリング攻撃、強制と共謀など、非常に異なる攻撃戦術を試みる可能性があります。これらの攻撃を阻止するための戦術はさまざまです。必要なのは、包括的で脆弱性のない防御方法です。
私の意見では、最も重要なことは「攻撃のコストを防御のコストよりも高くする」必要性です。つまり、システムへの攻撃を成功させるコストは、そのような攻撃に対する効果的な防御のコストよりも高くなければなりません。攻撃します。経済的に攻撃者の意欲をそぐことで、システムは Sybil 攻撃や他の種類の詐欺に対する耐性を高めることができます。
「セキュリティ、効率、拡張性」のバランス
シビル耐性コンセンサスでは、各アイデンティティが独立していて一意であることが必要です。現在、自己主権(中央集権的な第三者の関与なしにアイデンティティの作成と制御)とプライバシー(個人情報を明らかにすることなくアイデンティティの取得と利用)を実現するプロトコルがいくつかあります。 シビル攻撃に対する耐性、この 3 つの側面(シビル攻撃への耐性) 、自己主権の保護、プライバシーの保護)は、まさに分散型アイデンティティが直面するトリレンマです。
Sybil 攻撃の課題を解決し、信頼できる識別システムを確立するには、Sybil 攻撃防御システムを構築する際に、セキュリティ、効率、拡張性のバランスを考慮する必要があります。セキュリティを高めるとより優れた耐性を実現できますが、システムの効率とスケーラビリティが制限され、逆に効率とスケーラビリティを優先すると耐性が弱くなる可能性もあります。 Sybil耐性のある分散型アイデンティティシステムを構築します。シビル攻撃の問題に対して単一の答えはなく、複数のアプローチがあるのはこのためです。
Gitcoin パスポート イニシアチブ
Gitcoin によって開発されたオンチェーン ID 認証システムである Gitcoin Passport では、チームはユーザーの独立した ID を評価するために、段階的固有人間性検証とブール固有人間性検証という 2 つのメカニズムを使用しています。これらのメカニズムは、ユーザーのさまざまな行動実績 (Twitter または Google アカウントを認証したかどうか、GTC または ETH を保有しているかどうか、Gitcoin Grants に参加したかどうかなど) に重みを割り当て、その後、Passport が保有者の複合スコアを計算します。スコアによって、パスポート所有者が特定の権利、機能、その他の特典のロックを解除できるかどうかが決まります。たとえば、Gitcoin Grants ベータ ラウンドの最終ラウンドで二次マッチング資格を有効にするには、寄付者は少なくとも 15 以上の複合スコアを持っている必要があります。
開発の次の段階では、Gitcoin Passport チームは、プロジェクトの Sybil 防御設計を支援する別のメカニズムとして「偽コスト」の概念を検討しています。 「Cost of Fraud」では、エアドロップを安全に配布するためのわかりやすい指標の利用など、いくつかの設計上の選択肢が提供されています。
「偽造コスト」の概念を実装する方法
「偽造のコスト」の概念は本質的に、攻撃者が ID を偽造するコストをより高くするための戦略であり、重要な点は、ID の偽造に必要なリソース、時間、労力と防御の実装コストを比較することです。偽造のコストを増やすことで、攻撃者が不正行為を行う可能性が低くなり、システムのセキュリティが向上します。
「コストの偽造」の主な戦略が、一般ユーザーのコストを低く抑えながら攻撃者のコストを引き上げることである場合、私たちがしなければならないことは、防御よりも攻撃の方がコストがかかるシステムを作成することです。今日のシビル耐性を構築するための 4 つの主なアプローチは次のとおりです。
政府発行の身分証明書(運転免許証、パスポート、ID カードなど)による確認。
生体情報に基づく認証(顔スキャン、指紋または網膜スキャンなど)。
対面(会議、パーティーなど)での確認。
ソーシャル/信頼ネットワーク (Web2 アカウント、Web3 アカウント、NFT、ENS など) に基づく検証。
Gitcoin Passport の将来のバージョンでは、単一のソリューションでは Sybil 攻撃を完全に防ぐことはできず、複数のメカニズムを使用することでシステムをより効率的にできるため、これら 4 つの方法に従ってさまざまな動作を分類および検証し、複数のメカニズムが確実に導入されるようにします。さまざまな種類の攻撃に対応します。
潜在的な欠点
「偽造のコスト」という概念は効果的かもしれませんが、システム内の偽造の総コストがシステム内の金額に等しい場合、裕福な個人のみがアイデンティティにアクセスできるようになる可能性があります。これは、必然的に「素晴らしい」結果につながる可能性のある潜在的な課題を提示しているため、より少ない資金で済む検証メカニズムを優先する必要があります。財務状況がステータスの取得に影響を与えるべきではありません。
プロジェクトパーティへの提案
シビル攻撃に対抗する計画は、一定のコストを支払えば解読される可能性があるため、プロジェクト当事者は、許容できる不正の程度を判断することに重点を置く必要があります。個人は、グレーな方法ではなく、適切なルートを通じてより効率的に反シビル認定を取得できる必要があります。またはブラックマーケットで購入する; 偽造のコストをより高いレベルで設計する必要がありますが、実際のユーザーが認証を完了しないようにバランスを維持することにも注意を払う必要があります。
Sybil 耐性の ID システムは依然として共謀攻撃 (贈収賄など) に対して脆弱であることに注意してください。理想的なシステムでは、TCB (贈収賄の総コスト) と TCF (不正行為の総コスト) が、システム内で国民が利用できる報酬の数より大きくなければなりません。コストベースの指標は偽造と戦う上で不可欠ですが、それが常に偽造を防止する最も効果的な方法であるとは限りません。また、潜在的な非財務上のメリットがコストを上回る場合、攻撃者は依然としてある程度のコストを負担する可能性があります。たとえば、独自のプロジェクトを宣伝したい取引相手は、たとえ偽造コストがかなり高くても、複数の偽の ID を作成するために時間とリソースを費やすことをいとわないかもしれません。また、莫大な資金的優位性を持つ相手も喜んでいるかもしれません。貴重な利益や特権を得るために高額な費用を負担すること。
幸いなことに、これらの攻撃を軽減するのに役立つメカニズムは他にもあり、Gitcoin は、複数のソリューションが攻撃者との戦いで優位性を維持する唯一の方法であることに気づきました。
共謀
「偽造コスト」の概念は、Sybil 耐性システムのセキュリティ、効率、拡張性を設計するための、より詳細で直感的なアプローチをコミュニティに提供します。
コミュニティからより関連性の高いフィードバックを収集したいと考えています。 Dapps で Gitcoin Passport を使用している場合、または統合を計画している場合は、全体のスコアと偽造コストとの比較を教えてください。最後に、技術が進歩するにつれて、特定の人々を識別するメカニズム (逆チューリング テストなど) が人工知能に対してより脆弱になっていることを付け加えておきたいと思います。これは、「識別のコスト」の方法や設計にも悪影響を与える可能性があります。偽造」。多大な影響力。