Anahtar, "saldırı maliyeti"ni "savunma maliyeti"nden daha yüksek yapmaktır.
Yazan: Kyle Weiss, COO, Gitcoin
** Derleme: Azuma**
Sybil saldırıları (havadan yardım çevrelerinde genellikle "tüy çekme" olarak bilinir), merkezi olmayan ağların güvenini ve bütünlüğünü baltalayan çok ciddi bir sorundur.
Merkezi olmayan mekanizma, "benzersiz bir kimlik varsayımı" üzerinde çalışır - her katılımcının ağ üzerinde bağımsız bir kimliği vardır ve farklı kimlikler arasında eşit bir sese sahiptir - ancak, bir Sybil saldırısı aracılığıyla tek bir kullanıcı oluşturulduğunda Bu varsayım, birden fazla yanlış olduğunda artık geçerli değildir. kimlikler varsayılır ve sistem manipüle edilir.
Sybil saldırıları yoluyla, bir kullanıcı birden çok sahte adres oluşturabilir ve ardından tek bir adresin çok ötesinde airdrop ödülleri alabilir. Bu davranış, ödüllerin dağıtımını bozar ve gerçek kullanıcıları teşvik etmesi gereken orijinal airdrop programını baltalar.
Gitcoin'in ikincil eşleştirme mekanizması ve oylama mekanizması da çalışmak için yukarıdaki "benzersiz kimlik varsayımına" dayanır. Sybil saldırılarına direnilmezse, oylar ve fonlar bu beklenmedik sahte kimliklere orantısız bir şekilde dağıtılabilir, böylece kaliteli katılımcıların sahip olacağı oylar ve finansman alınanlar kesildi.
Bu makale yepyeni bir kavram ve stratejiyi tanıtıyor - "Sahtecilik Maliyeti". Bu kavram, bir saldırganın sahte bir kimlik oluşturmak için ihtiyaç duyduğu maliyeti, zamanı ve çabayı hesaba katar.Bu kavramın uygulanmasıyla, saldırganın maliyeti artırılabilir ve normal kullanıcıların maliyeti düşük tutulabilir. Bu şekilde projeler, Sybil saldırılarını sınırlamak için bu konsepti kullanabilir.
Oyunu bozmanın anahtarı nerede?
Sybil saldırılarının türleri çok karmaşıktır.Başlatıcıları "bilim adamları", suç örgütleri ve hatta bir ulus devlet olabilir ve güdüler kâr, eğlence veya saf kötülük olabilir. Bu düşmanlar, kimlik hırsızlığı, IP manipülasyonu, botnet'ler, sosyal mühendislik saldırıları, zorlama ve gizli anlaşma gibi çok farklı saldırı taktikleri deneyebilir.
Bence en önemli şey "saldırının maliyetini savunma maliyetinden daha yüksek yapmak", yani sisteme başarılı bir saldırı başlatmanın maliyeti, bu tür saldırılara karşı etkili savunmanın maliyetinden daha yüksek olmalıdır. Saldırganları ekonomik olarak caydırarak sistemler, Sybil saldırılarının yanı sıra diğer dolandırıcılık türlerine karşı daha dayanıklı hale gelebilir.
"Güvenlik, Verimlilik ve Ölçeklenebilirlik" arasında denge
Sybil'e dayanıklı mutabakat, her kimliğin bağımsız ve benzersiz olmasını gerektirir. Şu anda, öz-egemenliği (merkezi bir üçüncü tarafın katılımı olmadan kimlikler oluşturma ve kontrol etme) ve gizliliği (kişisel bilgileri ifşa etmeden kimlikleri edinme ve kullanma) sağlayan bazı protokoller vardır. Sybil saldırılarına karşı direnç, bu üç boyut (Sybil saldırılarına direnme) , öz-egemenliği korumak ve mahremiyeti korumak) tam olarak merkezi olmayan kimliklerin karşılaştığı ikilemdir.
Sybil saldırı sorununu çözmek ve güvenilir bir tanımlama sistemi kurmak için, bir Sybil saldırı savunma sistemi oluştururken güvenlik, verimlilik ve ölçeklenebilirlik arasındaki dengenin dikkate alınması gerekir. Daha yüksek güvenlik daha iyi direnç sağlasa da, sistemin verimliliğini ve ölçeklenebilirliğini sınırlayacaktır ve tersine, verimlilik ve ölçeklenebilirliğe öncelik vermek de daha zayıf dirence yol açabilir. Sybil'e dayanıklı merkezi olmayan bir kimlik sistemi oluşturun. Bu nedenle Sybil saldırıları sorununa tek bir cevap yoktur, birden çok yaklaşım vardır.
Gitcoin Pasaport girişimi
Gitcoin tarafından geliştirilen bir zincir üstü kimlik kimlik bilgisi sistemi olan Gitcoin Passport'ta ekip, bir kullanıcının bağımsız kimliğini değerlendirmek için iki mekanizma kullanır: Kademeli Benzersiz İnsanlık Doğrulaması ve Boolean Benzersiz İnsanlık Doğrulaması. Bu mekanizmalar, kullanıcıların çeşitli davranışsal başarılarına (doğrulanmış Twitter veya Google hesapları olup olmadığı, GTC veya ETH'ye sahip olup olmadıkları, Gitcoin Hibelerine katılıp katılmadıkları gibi) ağırlık verir ve ardından Passport, sahibinin bileşik puanını hesaplar. Puanlar, Pasaport sahiplerinin belirli hakların, özelliklerin veya diğer avantajların kilidini açıp açamayacağını belirleyebilir. Örneğin, Gitcoin Grants Beta Turunun son turunda ikincil eşleştirme niteliklerini etkinleştirmek için bağışçıların bileşik puanının en az 15 veya daha yüksek olması gerekir.
Geliştirmenin bir sonraki aşamasında Gitcoin Passport ekibi, projelerin Sybil savunmalarını tasarlamasına yardımcı olacak başka bir mekanizma olarak "sahte maliyetler" kavramını araştırıyor. "Dolandırıcılığın Maliyeti", airdrop'ları güvenli bir şekilde dağıtmak için anlaşılması kolay ölçümler kullanmak gibi bazı tasarım seçenekleri sunar.
"Sahte maliyet" kavramı nasıl uygulanır?
"Sahteciliğin maliyeti" kavramı, esasen bir saldırganın kimlikleri taklit etmesini daha pahalı hale getirmeye yönelik bir stratejidir. Kilit nokta, kimlikleri taklit etmek için gereken kaynakları, zamanı ve çabayı savunma uygulama maliyetiyle karşılaştırmaktır. Sahteciliğin maliyetini artırarak, saldırganların hileli davranışlarda bulunma olasılığı azalır ve sistemin güvenliği artar.
"Sahte maliyetlerin" ana stratejisi, sıradan kullanıcıların maliyetini düşük tutarken saldırganların maliyetini artırmaksa, o zaman yapmamız gereken, saldırması savunmaktan daha pahalı olan bir sistem yaratmaktır. İşte bugün Sybil direnişini inşa etmek için dört ana yaklaşım:
Devlet tarafından verilen kimliğe (ehliyet, pasaport, kimlik kartı vb.) dayalı doğrulama;
Biyometrik bilgilere dayalı doğrulama (yüz taraması, parmak izi veya retina taraması vb.);
Gitcoin Passport'un gelecekteki sürümlerinde, birden çok mekanizmanın yürürlükte olduğundan emin olmak için farklı davranışları bu dört yönteme göre sınıflandırıp doğrulayacağız çünkü hiçbir tek çözüm Sybil saldırılarını tamamen önleyemez ve birden çok mekanizma kullanmak sistemi daha verimli hale getirebilir. farklı saldırı türleri için.
Potansiyel dezavantajlar
"Sahtecilik maliyeti" kavramı etkili olabilirken, sistemdeki kalpazanlığın toplam maliyeti sistemdeki para miktarına eşitse, sadece varlıklı kişilerin kimliğe erişmesini sağlayabilir. Bu, kaçınılmaz olarak "muhteşem" bir sonuca yol açabilecek potansiyel bir zorluk teşkil ediyor, bu nedenle daha az sermaye gerektiren doğrulama mekanizmalarına öncelik verilmesi gerekiyor. Mali durum, statü kazanmayı etkilememelidir.
Proje partisine öneriler
Sybil saldırılarına direnmeye yönelik herhangi bir plan, belirli bir maliyet karşılığında kırılabilir, bu nedenle proje tarafının kabul edilebilir dolandırıcılık derecesini belirlemeye odaklanması gerekir; bireyler, anti-sybil sertifikasını uygun kanallardan daha etkili bir şekilde alabilmelidir. veya Karaborsadan satın alma; sahteciliğin maliyetinin daha yüksek bir seviyede tasarlanması gerekse de, gerçek kullanıcıların doğrulama işlemini tamamlamasına neden olmamak için dengenin korunmasına da dikkat edilmelidir.
Sybil'e dayanıklı kimlik sistemlerinin gizli anlaşma saldırılarına (rüşvet gibi) karşı hala savunmasız olduğunu belirtmekte fayda var. İdeal bir sistem için, TCB (Total Cost of Rüşvet) ve TCF (Total Cost of Fraud), sistem içinde vatandaşlara sunulan ödül sayısından fazla olmalıdır. Sahtecilikle mücadelede maliyete dayalı ölçütler çok önemli olsa da, kalpazanlığı önlemenin her zaman en etkili yolu değildirler ve saldırganlar, mali olmayan potansiyel faydalar maliyetlerden ağır basarsa yine de bir miktar maliyete katlanmaya istekli olabilir. Örneğin, kendi projesini tanıtmak isteyen bir karşı taraf, kalpazanlığın maliyeti oldukça yüksek olsa bile birden çok sahte kimlik oluşturmak için zaman ve kaynak harcamaya istekli olabilir. değerli faydalar veya ayrıcalıklar elde etmek için yüksek maliyetlere katlanmak.
Neyse ki, bu saldırıları hafifletmemize yardımcı olabilecek başka mekanizmalar da var ve Gitcoin, saldırganlara karşı savaşta avantajı korumanın tek yolunun çoklu çözümler olduğunu fark etti.
gizli anlaşma
"Sahtecilik maliyeti" kavramı, topluluğa Sybil direnç sistemlerinin güvenliğini, verimliliğini ve ölçeklenebilirliğini tasarlamak için daha ayrıntılı ve sezgisel bir yaklaşım sağlar.
Topluluktan daha ilgili geri bildirimler toplamak isteriz. Dapp'lerinizde Gitcoin Passport kullanıyorsanız veya entegre etmeyi planlıyorsanız, lütfen toplam puanın kalpazanlık maliyetiyle karşılaştırmasını bize bildirin. Son olarak şunu da eklemek isterim ki, teknoloji ilerledikçe bazı insanların kimlik belirleme mekanizması (reverse Turing testi gibi) yapay zekaya karşı daha savunmasız hale geldi ve bu da "maliyet" yöntemi ve tasarımı üzerinde olumsuz bir etkiye sahip olabilir. kalpazanlık". Muazzam etki.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Gitcoin COO'su: "Web3 saç önleme" sistemi nasıl oluşturulur?
Yazan: Kyle Weiss, COO, Gitcoin
** Derleme: Azuma**
Sybil saldırıları (havadan yardım çevrelerinde genellikle "tüy çekme" olarak bilinir), merkezi olmayan ağların güvenini ve bütünlüğünü baltalayan çok ciddi bir sorundur.
Merkezi olmayan mekanizma, "benzersiz bir kimlik varsayımı" üzerinde çalışır - her katılımcının ağ üzerinde bağımsız bir kimliği vardır ve farklı kimlikler arasında eşit bir sese sahiptir - ancak, bir Sybil saldırısı aracılığıyla tek bir kullanıcı oluşturulduğunda Bu varsayım, birden fazla yanlış olduğunda artık geçerli değildir. kimlikler varsayılır ve sistem manipüle edilir.
Sybil saldırıları yoluyla, bir kullanıcı birden çok sahte adres oluşturabilir ve ardından tek bir adresin çok ötesinde airdrop ödülleri alabilir. Bu davranış, ödüllerin dağıtımını bozar ve gerçek kullanıcıları teşvik etmesi gereken orijinal airdrop programını baltalar.
Gitcoin'in ikincil eşleştirme mekanizması ve oylama mekanizması da çalışmak için yukarıdaki "benzersiz kimlik varsayımına" dayanır. Sybil saldırılarına direnilmezse, oylar ve fonlar bu beklenmedik sahte kimliklere orantısız bir şekilde dağıtılabilir, böylece kaliteli katılımcıların sahip olacağı oylar ve finansman alınanlar kesildi.
Bu makale yepyeni bir kavram ve stratejiyi tanıtıyor - "Sahtecilik Maliyeti". Bu kavram, bir saldırganın sahte bir kimlik oluşturmak için ihtiyaç duyduğu maliyeti, zamanı ve çabayı hesaba katar.Bu kavramın uygulanmasıyla, saldırganın maliyeti artırılabilir ve normal kullanıcıların maliyeti düşük tutulabilir. Bu şekilde projeler, Sybil saldırılarını sınırlamak için bu konsepti kullanabilir.
Oyunu bozmanın anahtarı nerede?
Sybil saldırılarının türleri çok karmaşıktır.Başlatıcıları "bilim adamları", suç örgütleri ve hatta bir ulus devlet olabilir ve güdüler kâr, eğlence veya saf kötülük olabilir. Bu düşmanlar, kimlik hırsızlığı, IP manipülasyonu, botnet'ler, sosyal mühendislik saldırıları, zorlama ve gizli anlaşma gibi çok farklı saldırı taktikleri deneyebilir.
Bence en önemli şey "saldırının maliyetini savunma maliyetinden daha yüksek yapmak", yani sisteme başarılı bir saldırı başlatmanın maliyeti, bu tür saldırılara karşı etkili savunmanın maliyetinden daha yüksek olmalıdır. Saldırganları ekonomik olarak caydırarak sistemler, Sybil saldırılarının yanı sıra diğer dolandırıcılık türlerine karşı daha dayanıklı hale gelebilir.
"Güvenlik, Verimlilik ve Ölçeklenebilirlik" arasında denge
Sybil'e dayanıklı mutabakat, her kimliğin bağımsız ve benzersiz olmasını gerektirir. Şu anda, öz-egemenliği (merkezi bir üçüncü tarafın katılımı olmadan kimlikler oluşturma ve kontrol etme) ve gizliliği (kişisel bilgileri ifşa etmeden kimlikleri edinme ve kullanma) sağlayan bazı protokoller vardır. Sybil saldırılarına karşı direnç, bu üç boyut (Sybil saldırılarına direnme) , öz-egemenliği korumak ve mahremiyeti korumak) tam olarak merkezi olmayan kimliklerin karşılaştığı ikilemdir.
Sybil saldırı sorununu çözmek ve güvenilir bir tanımlama sistemi kurmak için, bir Sybil saldırı savunma sistemi oluştururken güvenlik, verimlilik ve ölçeklenebilirlik arasındaki dengenin dikkate alınması gerekir. Daha yüksek güvenlik daha iyi direnç sağlasa da, sistemin verimliliğini ve ölçeklenebilirliğini sınırlayacaktır ve tersine, verimlilik ve ölçeklenebilirliğe öncelik vermek de daha zayıf dirence yol açabilir. Sybil'e dayanıklı merkezi olmayan bir kimlik sistemi oluşturun. Bu nedenle Sybil saldırıları sorununa tek bir cevap yoktur, birden çok yaklaşım vardır.
Gitcoin Pasaport girişimi
Gitcoin tarafından geliştirilen bir zincir üstü kimlik kimlik bilgisi sistemi olan Gitcoin Passport'ta ekip, bir kullanıcının bağımsız kimliğini değerlendirmek için iki mekanizma kullanır: Kademeli Benzersiz İnsanlık Doğrulaması ve Boolean Benzersiz İnsanlık Doğrulaması. Bu mekanizmalar, kullanıcıların çeşitli davranışsal başarılarına (doğrulanmış Twitter veya Google hesapları olup olmadığı, GTC veya ETH'ye sahip olup olmadıkları, Gitcoin Hibelerine katılıp katılmadıkları gibi) ağırlık verir ve ardından Passport, sahibinin bileşik puanını hesaplar. Puanlar, Pasaport sahiplerinin belirli hakların, özelliklerin veya diğer avantajların kilidini açıp açamayacağını belirleyebilir. Örneğin, Gitcoin Grants Beta Turunun son turunda ikincil eşleştirme niteliklerini etkinleştirmek için bağışçıların bileşik puanının en az 15 veya daha yüksek olması gerekir.
Geliştirmenin bir sonraki aşamasında Gitcoin Passport ekibi, projelerin Sybil savunmalarını tasarlamasına yardımcı olacak başka bir mekanizma olarak "sahte maliyetler" kavramını araştırıyor. "Dolandırıcılığın Maliyeti", airdrop'ları güvenli bir şekilde dağıtmak için anlaşılması kolay ölçümler kullanmak gibi bazı tasarım seçenekleri sunar.
"Sahte maliyet" kavramı nasıl uygulanır?
"Sahteciliğin maliyeti" kavramı, esasen bir saldırganın kimlikleri taklit etmesini daha pahalı hale getirmeye yönelik bir stratejidir. Kilit nokta, kimlikleri taklit etmek için gereken kaynakları, zamanı ve çabayı savunma uygulama maliyetiyle karşılaştırmaktır. Sahteciliğin maliyetini artırarak, saldırganların hileli davranışlarda bulunma olasılığı azalır ve sistemin güvenliği artar.
"Sahte maliyetlerin" ana stratejisi, sıradan kullanıcıların maliyetini düşük tutarken saldırganların maliyetini artırmaksa, o zaman yapmamız gereken, saldırması savunmaktan daha pahalı olan bir sistem yaratmaktır. İşte bugün Sybil direnişini inşa etmek için dört ana yaklaşım:
Devlet tarafından verilen kimliğe (ehliyet, pasaport, kimlik kartı vb.) dayalı doğrulama;
Biyometrik bilgilere dayalı doğrulama (yüz taraması, parmak izi veya retina taraması vb.);
Şahsen (konferans, parti vb.) doğrulama;
Sosyal/güven ağına dayalı doğrulama (Web2 hesabı, Web3 hesabı, NFT, ENS, vb.).
Gitcoin Passport'un gelecekteki sürümlerinde, birden çok mekanizmanın yürürlükte olduğundan emin olmak için farklı davranışları bu dört yönteme göre sınıflandırıp doğrulayacağız çünkü hiçbir tek çözüm Sybil saldırılarını tamamen önleyemez ve birden çok mekanizma kullanmak sistemi daha verimli hale getirebilir. farklı saldırı türleri için.
Potansiyel dezavantajlar
"Sahtecilik maliyeti" kavramı etkili olabilirken, sistemdeki kalpazanlığın toplam maliyeti sistemdeki para miktarına eşitse, sadece varlıklı kişilerin kimliğe erişmesini sağlayabilir. Bu, kaçınılmaz olarak "muhteşem" bir sonuca yol açabilecek potansiyel bir zorluk teşkil ediyor, bu nedenle daha az sermaye gerektiren doğrulama mekanizmalarına öncelik verilmesi gerekiyor. Mali durum, statü kazanmayı etkilememelidir.
Proje partisine öneriler
Sybil saldırılarına direnmeye yönelik herhangi bir plan, belirli bir maliyet karşılığında kırılabilir, bu nedenle proje tarafının kabul edilebilir dolandırıcılık derecesini belirlemeye odaklanması gerekir; bireyler, anti-sybil sertifikasını uygun kanallardan daha etkili bir şekilde alabilmelidir. veya Karaborsadan satın alma; sahteciliğin maliyetinin daha yüksek bir seviyede tasarlanması gerekse de, gerçek kullanıcıların doğrulama işlemini tamamlamasına neden olmamak için dengenin korunmasına da dikkat edilmelidir.
Sybil'e dayanıklı kimlik sistemlerinin gizli anlaşma saldırılarına (rüşvet gibi) karşı hala savunmasız olduğunu belirtmekte fayda var. İdeal bir sistem için, TCB (Total Cost of Rüşvet) ve TCF (Total Cost of Fraud), sistem içinde vatandaşlara sunulan ödül sayısından fazla olmalıdır. Sahtecilikle mücadelede maliyete dayalı ölçütler çok önemli olsa da, kalpazanlığı önlemenin her zaman en etkili yolu değildirler ve saldırganlar, mali olmayan potansiyel faydalar maliyetlerden ağır basarsa yine de bir miktar maliyete katlanmaya istekli olabilir. Örneğin, kendi projesini tanıtmak isteyen bir karşı taraf, kalpazanlığın maliyeti oldukça yüksek olsa bile birden çok sahte kimlik oluşturmak için zaman ve kaynak harcamaya istekli olabilir. değerli faydalar veya ayrıcalıklar elde etmek için yüksek maliyetlere katlanmak.
Neyse ki, bu saldırıları hafifletmemize yardımcı olabilecek başka mekanizmalar da var ve Gitcoin, saldırganlara karşı savaşta avantajı korumanın tek yolunun çoklu çözümler olduğunu fark etti.
gizli anlaşma
"Sahtecilik maliyeti" kavramı, topluluğa Sybil direnç sistemlerinin güvenliğini, verimliliğini ve ölçeklenebilirliğini tasarlamak için daha ayrıntılı ve sezgisel bir yaklaşım sağlar.
Topluluktan daha ilgili geri bildirimler toplamak isteriz. Dapp'lerinizde Gitcoin Passport kullanıyorsanız veya entegre etmeyi planlıyorsanız, lütfen toplam puanın kalpazanlık maliyetiyle karşılaştırmasını bize bildirin. Son olarak şunu da eklemek isterim ki, teknoloji ilerledikçe bazı insanların kimlik belirleme mekanizması (reverse Turing testi gibi) yapay zekaya karşı daha savunmasız hale geldi ve bu da "maliyet" yöntemi ve tasarımı üzerinde olumsuz bir etkiye sahip olabilir. kalpazanlık". Muazzam etki.