关键在于让“攻击成本”大于“防御成本”。

本文源自：Gitcoin

原文作者：Gitcoin 首席运营官 Kyle Weiss

译者：Odaily 星球日报 Azuma

女巫攻击（Sybil attacks，在空投届俗称“撸毛”）是一个非常严重的问题，它破坏了去中心化网络的信任度和完整性。

去中心化机制依赖于一个“唯一身份假设”而运作——每个参与者在网络上都拥有一个独立的身份，且不同身份之间有着平等的声音——然而，当单个用户通过女巫攻击创建了多个虚假身份并操纵系统时，这一假设就不再成立了。

通过女巫攻击，一名用户可以创建多个虚假地址，继而获得远超过单个地址的空投奖励。这种行为扭曲了奖励的分配比例，破坏了原本的空投计划，而该计划本该起到激励真实用户的作用。

Gitcoin 的二次匹配机制和投票机制也依赖于上文的“唯一身份假设”而运作，如果不对女巫攻击加以抵御，选票和资金或将不成比例地被分配给那些意料之外的虚假身份，从而削减了优质参与者本该获得的选票和资金。

本文介绍了一个全新的概念和策略——“造假成本”（Cost of Forgery）。这一概念考虑到了攻击者创造虚假身份时所需要的成本、时间和精力，通过实施该概念，可以放大攻击者的成本，并使正常用户的成本保持在较低水平。如此一来，项目方便可以利用该概念来限制女巫攻击行为。

破局的关键点在哪？

女巫攻击的类型非常复杂，发起者可能是“科学家”、犯罪组织甚至某个民族国家，动机则可能是利益、娱乐或者纯纯的恶意。这些对手可能会尝试截然不同的攻击策略，比如身份盗窃、IP 操纵、僵尸网络、社会工程攻击、胁迫串通等等，遏制这些攻击的策略各不相同，我们需要的是一个全面的、反脆弱的抵御方法。

在我看来，最重要的一件事是需要做到“让攻击成本高于防御成本”，这意味着对系统发动一次成功攻击的成本应该高于对此类攻击进行有效防御的成本。通过从经济效益上抑制攻击者，系统可以更有弹性地应对女巫攻击以及其他类型的欺诈。

“安全性、效率、可扩展性”间的平衡

抵御女巫攻击的共识要求每个身份都是独立且唯一的。当前，已有一些协议做到了在保证自我主权（在没有中心化第三方参与的情况下创建和控制身份）和隐私（在不泄露个人信息的情况下获取和利用身份）的同时，实现了对女巫攻击的抵御，这三个维度（抵御女巫攻击、保护自我主权、保护隐私）正是去中心化身份所面临的三难困境。

为了解决女巫攻击挑战并建立一个可靠的身份识别系统，在构建女巫攻击抵御系统时需要考虑到安全性、效率、可扩展性等三个因素之间的平衡。虽然更高的安全性可以实现更好的抵御效果，但这却会限制系统的效率和可扩展性，反之优先考虑效率和可扩展性也可能会导致更弱的抵御效果，因此，能否在这些不同因素间找到最佳平衡对于能够构建一个可抵御女巫攻击的去中心化身份系统而言至关重要。这也是为什么，解决女巫攻击问题没有单一的答案，而是会存在多种方法。

Gitcoin Passport 的举措

在 Gitcoin Passport（Gitcoin 开发的链上身份凭证系统）中，团队使用了两种机制来评估用户的独立身份：Gradual Unique Humanity Verification 和 Boolean Unique Humanity Verification。这些机制会对用户的各种行为成就（比如是否已验证 Twitter 或 Google 账户，是否持有 GTC 或 ETH，是否曾参加过 Gitcoin Grants）分配权重，进而 Passport 计算持有者的综合分数。分数可以决定 Passport 持有者是否可解锁某些权利、功能或其他好处。比如，想要在上一轮的 Gitcoin Grants Beta Round 中激活二次匹配资格，捐赠者的综合分数至少要达到 15 以上。

在下一阶段的发展中，Gitcoin Passport 团队正在探索将“造假成本”概念作为另一种机制来帮助项目设计其女巫防御系统。“造假成本” 提供了一些设计选择，比如利用易于理解的指标来安全地分发空投。

如何落地“造假成本”概念

“造假成本”概念本质上是一种让攻击者伪造身份变得更加昂贵的策略，其关键点在于将伪造身份所需的资源、时间和精力与实施防御的成本进行比较。通过提高造假的成本，攻击者不太可能从事欺诈行为，从而提高了系统的安全性。

如果说“造假成本”的主要策略就是拉高攻击者的成本，同时使普通用户的成本保持在较低水平，那么我们需要做的就是创建一种攻击比防御更昂贵的系统。以下是目前构建抵御女巫攻击的四种主要方法:

1. 基于政府签发的身份证明（驾照、护照、身份证等）验证；

2. 基于生物特征信息（面部扫描、指纹或视网膜扫描等）验证；

3. 当面（会议、聚会等）验证；

4. 基于社会/信任网络（Web2 账户、Web3 账户、NFT、ENS 等）验证。

在未来版本的 Gitcoin Passport 中，我们将根据这四个办法对不同的行为进行分类验证，以确保多种机制到位，因为没有单一的解决方案可以完全防止女巫攻击，使用多种机制可以使系统更能抵抗不同类型的攻击。

潜在缺点

尽管“造假成本”概念可能会很有效果，但如果系统中造假的总成本等于系统中的资金量，那么可能会使得只有富有的个人才有机会获得身份。这提出了一个潜在的挑战，即可能会不可避免地导致“富豪化”结果，因此需要优先考虑那些资金要求较少的验证机制。财务状况不应该影响到身份的获取。

给项目方的建议

任何抵御女巫攻击的计划都可以在一定代价下被破解，所以项目方需要将重点放在确定可接受的欺诈程度上；个人应可以更有效地通过适当渠道获得反女巫认证，而不用在灰色或黑市上购买；虽然需要将造假成本设计在较高水平之上，但也要注意保持平衡，以免导致真实用户完成获得验证。

值得注意的是，可抵御女巫攻击的身份系统仍然容易受到串通行为攻击（比如贿赂）。对于一个理想的系统而言，TCB（总贿赂成本）和 TCF（总造假成本）必须大于该系统内公民可以获得的奖励数量。虽然基于成本的度量在打击造假行为时是必不可少的，但它们并不总是防止造假的最有效方法，如果潜在的非经济利益超过了成本，攻击者可能仍然愿意去承担一定的成本损耗。比如，想要推广自家项目的对手方可能愿意花费时间和资源来创建多个假身份，即使造假的成本相当高，此外，拥有巨大财务资源优势的对手可能也愿意承担高成本，以获得有价值的利益或特权。

幸运的是，还有其他机制可以帮助我们减少这些攻击，Gitcoin 也已意识到，只有采用多种解决方案才能在与攻击者的战斗中保持优势。

共谋共策

“造假成本”概念为社区提供了一种更精细和直观的方法来设计女巫抵御系统的安全性、效率和可扩展性。

我们很乐意从社区收集更多相关反馈。如果您在 Dapps 中使用了 Gitcoin Passport 或打算集成它，请让我们知道综合打分情况与造假成本之间的对比情况。最后补充一点，随着技术的进步，某些人身份证明的机制（如反向图灵测试）已变得更容易受到人工智能的破坏，这也可能会对“造假成本”的方法及设计产生重大影响。