Автор оригинала: Кайл Вайс, главный операционный директор Gitcoin Переводчик: Odaily Planet Daily Azuma
Атаки Sybil (широко известные в индустрии аирдропов как «выдергивание волос») — очень серьезная проблема, которая разрушает доверие и целостность децентрализованной сети.
Децентрализованный механизм работает на «предположении об уникальной идентичности» — каждый участник имеет независимую идентичность в сети и имеет равный голос между разными идентичностями — однако, когда один пользователь создается с помощью атаки Сивиллы. Это предположение больше не выполняется, когда несколько ложных идентичности предполагаются, и система манипулируется.
С помощью sybil-атак пользователь может создать несколько поддельных адресов, а затем получить вознаграждение за раздачу, намного превышающее вознаграждение за один адрес. Такое поведение искажает распределение вознаграждений и подрывает первоначальную программу аирдропа, которая должна стимулировать реальных пользователей.
Вторичный механизм сопоставления и механизм голосования Gitcoin также полагаются на вышеупомянутое «предположение об уникальной идентичности». полученные были вырезаны.
В этой статье представлена совершенно новая концепция и стратегия — «Цена подделки». Эта концепция учитывает стоимость, время и усилия, необходимые злоумышленнику для создания ложной идентичности.При реализации этой концепции стоимость злоумышленника может быть увеличена, а стоимость обычных пользователей может оставаться низкой. Таким образом, проекты могут использовать эту концепцию для ограничения атак Sybil.
Где ключ к взлому игры?
Типы сивилл-атак очень сложны.Инициаторами могут быть «ученые», криминальные организации или даже национальное государство, а мотивами могут быть прибыль, развлечение или чистый злой умысел. Эти злоумышленники могут использовать совершенно разные тактики атак, такие как кража личных данных, манипулирование IP, ботнеты, атаки с использованием социальной инженерии, принуждение и сговор и т. д. Тактика для сдерживания этих атак может быть разной. Нам нужен комплексный, антихрупкий метод защиты.
Одной из самых важных вещей, на мой взгляд, является необходимость «сделать атаку дороже, чем защиту», что означает, что стоимость успешной атаки на систему должна быть выше, чем стоимость эффективной защиты от такой атаки. Экономически дестимулируя злоумышленников, системы могут стать более устойчивыми к атакам Sybil, а также к другим видам мошенничества.
Баланс между «безопасностью, эффективностью и масштабируемостью»
Консенсус, устойчивый к Сивилле, требует, чтобы каждая личность была независимой и уникальной. В настоящее время существует несколько протоколов, обеспечивающих независимость (создание и контроль удостоверений без участия централизованной третьей стороны) и конфиденциальность (получение и использование удостоверений без раскрытия личной информации). , защита суверенитета и защита частной жизни) — это именно трилемма, с которой сталкиваются децентрализованные идентичности.
Чтобы решить проблему атак Сивиллы и создать надежную систему идентификации, при построении системы защиты от атак Сивиллы необходимо учитывать баланс между безопасностью, эффективностью и масштабируемостью. Хотя более высокий уровень безопасности может обеспечить лучшее сопротивление, это ограничит эффективность и масштабируемость системы, и, наоборот, приоритет эффективности и масштабируемости также может привести к более слабому сопротивлению. построить устойчивую к Сивилле децентрализованную систему идентификации. Вот почему нет единого ответа на проблему атак Сивиллы, а есть несколько подходов.
Инициатива Gitcoin Passport
В Gitcoin Passport, сетевой системе проверки подлинности, разработанной Gitcoin, команда использует два механизма для оценки независимой личности пользователя: постепенная проверка уникальности человечности и логическая проверка уникальности человечности. Эти механизмы будут присваивать веса различным поведенческим достижениям пользователей (например, подтверждены ли они учетными записями Twitter или Google, владеют ли они GTC или ETH, участвовали ли они в грантах Gitcoin), а затем Passport вычисляет совокупный балл владельца. Баллы могут определить, могут ли владельцы паспорта разблокировать определенные права, функции или другие преимущества. Например, чтобы активировать вторичные квалификации соответствия в последнем раунде бета-раунда Gitcoin Grants, доноры должны иметь совокупный балл не менее 15 или выше.
На следующем этапе разработки команда Gitcoin Passport изучает концепцию «фиктивных затрат» в качестве еще одного механизма, помогающего проектам разрабатывать свою защиту Сивиллы. «Фальшивая стоимость» предоставляет некоторые варианты дизайна, такие как использование простых для понимания показателей для безопасного распределения аирдропов.
Как реализовать понятие «контрафактная стоимость»
Концепция «цены подделки» — это, по сути, стратегия, позволяющая злоумышленнику удорожить подделку удостоверений. Ключевым моментом является сравнение ресурсов, времени и усилий, необходимых для подделки удостоверений, со стоимостью внедрения средств защиты. Увеличивая стоимость подделки, злоумышленники с меньшей вероятностью прибегают к мошенническим действиям, повышая безопасность системы.
Если основная стратегия «затрат на подделку» состоит в том, чтобы повысить стоимость злоумышленников при сохранении низкой стоимости обычных пользователей, то нам нужно создать систему, атаковать которую дороже, чем защищать. Вот четыре основных подхода к построению сопротивления Сивилле сегодня:
Проверка на основании удостоверения личности государственного образца (водительские права, паспорт, удостоверение личности и т. д.);
Верификация на основе биометрической информации (сканирование лица, отпечатка пальца или сетчатки глаза и т. д.);
Очная (конференция, вечеринка и т.п.) проверка;
Аутентификация на основе социальной/доверительной сети (учетная запись Web2, учетная запись Web3, NFT, ENS и т. д.).
В будущих версиях Gitcoin Passport мы будем классифицировать и проверять различные варианты поведения в соответствии с этими четырьмя методами, чтобы убедиться в наличии нескольких механизмов, поскольку ни одно решение не может полностью предотвратить атаки Sybil, а использование нескольких механизмов может сделать систему более эффективной. к разным типам атак.
Потенциальные недостатки
Хотя концепция «затрат на подделку» может быть эффективной, если общая стоимость подделки в системе равна сумме денег в системе, это может привести к тому, что только богатые люди будут иметь доступ к идентичности. Это представляет собой потенциальную проблему, которая может неизбежно привести к «великодушному» результату, поэтому те механизмы проверки, которые требуют меньшего капитала, должны быть приоритетными. Финансовое положение не должно влиять на получение статуса.
Предложения проектной группе
Любой план противодействия атакам Сивиллы может быть взломан с определенной ценой, поэтому участникам проекта необходимо сосредоточиться на определении приемлемой степени мошенничества; отдельные лица должны иметь возможность более эффективно получать сертификацию против Сивиллы по соответствующим каналам, а не в сером или Покупка на черном рынке; хотя стоимость подделки должна быть рассчитана на более высоком уровне, следует также уделить внимание поддержанию баланса, чтобы не заставлять реальных пользователей проходить проверку.
Стоит отметить, что системы идентификации, устойчивые к Sybil, по-прежнему уязвимы для атак по сговору (таких как взяточничество). Для идеальной системы TCB (общая стоимость взяточничества) и TCF (общая стоимость мошенничества) должны быть больше, чем количество вознаграждений, доступных гражданам в системе. Хотя показатели, основанные на затратах, важны для борьбы с контрафактной продукцией, они не всегда являются наиболее эффективным способом предотвращения контрафактной деятельности, и злоумышленники все же могут быть готовы понести некоторые расходы, если потенциальные нефинансовые выгоды перевешивают затраты. Например, контрагент, желающий продвигать собственный проект, может быть готов потратить время и ресурсы на создание нескольких поддельных удостоверений личности, даже если стоимость подделки довольно высока. нести большие расходы, чтобы получить ценные выгоды или привилегии.
К счастью, есть и другие механизмы, которые могут помочь нам смягчить эти атаки, и Gitcoin осознал, что несколько решений — единственный способ сохранить преимущество в битве против злоумышленников.
Сговор
Концепция «затраты на подделку» предоставляет сообществу более детальный и интуитивно понятный подход к проектированию безопасности, эффективности и масштабируемости систем защиты от Sybil.
Мы хотели бы получить более актуальные отзывы от сообщества. Если вы используете Gitcoin Passport в своих Dapps или планируете интегрировать его, сообщите нам, как общая оценка соотносится со стоимостью подделки. Наконец, я хотел бы добавить, что по мере развития технологий механизм идентификации некоторых людей (например, обратный тест Тьюринга) стал более уязвимым для искусственного интеллекта, что также может оказать негативное влияние на метод и дизайн «стоимости». подделка». Огромное влияние.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Как построить систему "Web3 против волос"
Автор оригинала: Кайл Вайс, главный операционный директор Gitcoin Переводчик: Odaily Planet Daily Azuma
Атаки Sybil (широко известные в индустрии аирдропов как «выдергивание волос») — очень серьезная проблема, которая разрушает доверие и целостность децентрализованной сети.
Децентрализованный механизм работает на «предположении об уникальной идентичности» — каждый участник имеет независимую идентичность в сети и имеет равный голос между разными идентичностями — однако, когда один пользователь создается с помощью атаки Сивиллы. Это предположение больше не выполняется, когда несколько ложных идентичности предполагаются, и система манипулируется.
С помощью sybil-атак пользователь может создать несколько поддельных адресов, а затем получить вознаграждение за раздачу, намного превышающее вознаграждение за один адрес. Такое поведение искажает распределение вознаграждений и подрывает первоначальную программу аирдропа, которая должна стимулировать реальных пользователей.
Вторичный механизм сопоставления и механизм голосования Gitcoin также полагаются на вышеупомянутое «предположение об уникальной идентичности». полученные были вырезаны.
В этой статье представлена совершенно новая концепция и стратегия — «Цена подделки». Эта концепция учитывает стоимость, время и усилия, необходимые злоумышленнику для создания ложной идентичности.При реализации этой концепции стоимость злоумышленника может быть увеличена, а стоимость обычных пользователей может оставаться низкой. Таким образом, проекты могут использовать эту концепцию для ограничения атак Sybil.
Где ключ к взлому игры?
Типы сивилл-атак очень сложны.Инициаторами могут быть «ученые», криминальные организации или даже национальное государство, а мотивами могут быть прибыль, развлечение или чистый злой умысел. Эти злоумышленники могут использовать совершенно разные тактики атак, такие как кража личных данных, манипулирование IP, ботнеты, атаки с использованием социальной инженерии, принуждение и сговор и т. д. Тактика для сдерживания этих атак может быть разной. Нам нужен комплексный, антихрупкий метод защиты.
Одной из самых важных вещей, на мой взгляд, является необходимость «сделать атаку дороже, чем защиту», что означает, что стоимость успешной атаки на систему должна быть выше, чем стоимость эффективной защиты от такой атаки. Экономически дестимулируя злоумышленников, системы могут стать более устойчивыми к атакам Sybil, а также к другим видам мошенничества.
Баланс между «безопасностью, эффективностью и масштабируемостью»
Консенсус, устойчивый к Сивилле, требует, чтобы каждая личность была независимой и уникальной. В настоящее время существует несколько протоколов, обеспечивающих независимость (создание и контроль удостоверений без участия централизованной третьей стороны) и конфиденциальность (получение и использование удостоверений без раскрытия личной информации). , защита суверенитета и защита частной жизни) — это именно трилемма, с которой сталкиваются децентрализованные идентичности.
Чтобы решить проблему атак Сивиллы и создать надежную систему идентификации, при построении системы защиты от атак Сивиллы необходимо учитывать баланс между безопасностью, эффективностью и масштабируемостью. Хотя более высокий уровень безопасности может обеспечить лучшее сопротивление, это ограничит эффективность и масштабируемость системы, и, наоборот, приоритет эффективности и масштабируемости также может привести к более слабому сопротивлению. построить устойчивую к Сивилле децентрализованную систему идентификации. Вот почему нет единого ответа на проблему атак Сивиллы, а есть несколько подходов.
Инициатива Gitcoin Passport
В Gitcoin Passport, сетевой системе проверки подлинности, разработанной Gitcoin, команда использует два механизма для оценки независимой личности пользователя: постепенная проверка уникальности человечности и логическая проверка уникальности человечности. Эти механизмы будут присваивать веса различным поведенческим достижениям пользователей (например, подтверждены ли они учетными записями Twitter или Google, владеют ли они GTC или ETH, участвовали ли они в грантах Gitcoin), а затем Passport вычисляет совокупный балл владельца. Баллы могут определить, могут ли владельцы паспорта разблокировать определенные права, функции или другие преимущества. Например, чтобы активировать вторичные квалификации соответствия в последнем раунде бета-раунда Gitcoin Grants, доноры должны иметь совокупный балл не менее 15 или выше.
На следующем этапе разработки команда Gitcoin Passport изучает концепцию «фиктивных затрат» в качестве еще одного механизма, помогающего проектам разрабатывать свою защиту Сивиллы. «Фальшивая стоимость» предоставляет некоторые варианты дизайна, такие как использование простых для понимания показателей для безопасного распределения аирдропов.
Как реализовать понятие «контрафактная стоимость»
Концепция «цены подделки» — это, по сути, стратегия, позволяющая злоумышленнику удорожить подделку удостоверений. Ключевым моментом является сравнение ресурсов, времени и усилий, необходимых для подделки удостоверений, со стоимостью внедрения средств защиты. Увеличивая стоимость подделки, злоумышленники с меньшей вероятностью прибегают к мошенническим действиям, повышая безопасность системы.
Если основная стратегия «затрат на подделку» состоит в том, чтобы повысить стоимость злоумышленников при сохранении низкой стоимости обычных пользователей, то нам нужно создать систему, атаковать которую дороже, чем защищать. Вот четыре основных подхода к построению сопротивления Сивилле сегодня:
Проверка на основании удостоверения личности государственного образца (водительские права, паспорт, удостоверение личности и т. д.);
Верификация на основе биометрической информации (сканирование лица, отпечатка пальца или сетчатки глаза и т. д.);
Очная (конференция, вечеринка и т.п.) проверка;
Аутентификация на основе социальной/доверительной сети (учетная запись Web2, учетная запись Web3, NFT, ENS и т. д.).
В будущих версиях Gitcoin Passport мы будем классифицировать и проверять различные варианты поведения в соответствии с этими четырьмя методами, чтобы убедиться в наличии нескольких механизмов, поскольку ни одно решение не может полностью предотвратить атаки Sybil, а использование нескольких механизмов может сделать систему более эффективной. к разным типам атак.
Потенциальные недостатки
Хотя концепция «затрат на подделку» может быть эффективной, если общая стоимость подделки в системе равна сумме денег в системе, это может привести к тому, что только богатые люди будут иметь доступ к идентичности. Это представляет собой потенциальную проблему, которая может неизбежно привести к «великодушному» результату, поэтому те механизмы проверки, которые требуют меньшего капитала, должны быть приоритетными. Финансовое положение не должно влиять на получение статуса.
Предложения проектной группе
Любой план противодействия атакам Сивиллы может быть взломан с определенной ценой, поэтому участникам проекта необходимо сосредоточиться на определении приемлемой степени мошенничества; отдельные лица должны иметь возможность более эффективно получать сертификацию против Сивиллы по соответствующим каналам, а не в сером или Покупка на черном рынке; хотя стоимость подделки должна быть рассчитана на более высоком уровне, следует также уделить внимание поддержанию баланса, чтобы не заставлять реальных пользователей проходить проверку.
Стоит отметить, что системы идентификации, устойчивые к Sybil, по-прежнему уязвимы для атак по сговору (таких как взяточничество). Для идеальной системы TCB (общая стоимость взяточничества) и TCF (общая стоимость мошенничества) должны быть больше, чем количество вознаграждений, доступных гражданам в системе. Хотя показатели, основанные на затратах, важны для борьбы с контрафактной продукцией, они не всегда являются наиболее эффективным способом предотвращения контрафактной деятельности, и злоумышленники все же могут быть готовы понести некоторые расходы, если потенциальные нефинансовые выгоды перевешивают затраты. Например, контрагент, желающий продвигать собственный проект, может быть готов потратить время и ресурсы на создание нескольких поддельных удостоверений личности, даже если стоимость подделки довольно высока. нести большие расходы, чтобы получить ценные выгоды или привилегии.
К счастью, есть и другие механизмы, которые могут помочь нам смягчить эти атаки, и Gitcoin осознал, что несколько решений — единственный способ сохранить преимущество в битве против злоумышленников.
Сговор
Концепция «затраты на подделку» предоставляет сообществу более детальный и интуитивно понятный подход к проектированию безопасности, эффективности и масштабируемости систем защиты от Sybil.
Мы хотели бы получить более актуальные отзывы от сообщества. Если вы используете Gitcoin Passport в своих Dapps или планируете интегрировать его, сообщите нам, как общая оценка соотносится со стоимостью подделки. Наконец, я хотел бы добавить, что по мере развития технологий механизм идентификации некоторых людей (например, обратный тест Тьюринга) стал более уязвимым для искусственного интеллекта, что также может оказать негативное влияние на метод и дизайн «стоимости». подделка». Огромное влияние.