핵심은 '방어비용'보다 '공격비용'을 더 크게 만드는 것이다.
작성자: Kyle Weiss, Gitcoin 최고 운영 책임자
편집 : 아즈마
Sybil 공격(에어드랍 커뮤니티에서는 일반적으로 "머리카락 공격"으로 알려져 있음)은 분산형 네트워크의 신뢰와 무결성을 파괴하는 매우 심각한 문제입니다.
분산형 메커니즘은 "고유한 신원 가정"에 따라 작동합니다. 즉, 각 참가자는 네트워크에서 독립적인 신원을 가지며, 서로 다른 신원은 동일한 목소리를 가집니다. 그러나 단일 사용자가 여러 개의 허위 신원을 생성하고 시스템을 조작합니다.
Sybil 공격을 통해 사용자는 여러 개의 가짜 주소를 생성하고 단일 주소보다 훨씬 많은 에어드랍 보상을 받을 수 있습니다. 이러한 행동은 보상 분배를 왜곡하고 실제 사용자에게 인센티브를 제공하기로 했던 원래 에어드랍 계획을 훼손합니다.
Gitcoin의 2차 매칭 메커니즘과 투표 메커니즘도 위의 "고유 신원 가정"에 의존하여 작동합니다. 마녀 공격에 저항하지 않으면 투표와 자금이 예상치 못한 허위 신원에 불균형적으로 할당될 수 있으므로 그렇지 않으면 투표를 차단하고 품질 참가자에게 자금을 조달할 수 있습니다. 받다.
이 글에서는 "위조 비용"이라는 새로운 개념과 전략을 소개합니다. 이 개념은 공격자가 허위 신원을 생성하는 데 필요한 비용, 시간, 노력을 고려한 것으로, 이 개념을 구현함으로써 공격자가 지불하는 비용은 증폭되고 일반 사용자가 지불하는 비용은 낮게 유지됩니다. 이러한 방식으로 프로젝트는 이 개념을 활용하여 Sybil 공격을 제한할 수 있습니다.
게임을 깨는 열쇠는 어디에 있습니까?
마녀 공격의 유형은 매우 복잡합니다. 개시자는 "과학자", 범죄 조직 또는 심지어 국민 국가일 수 있으며, 동기는 이익, 오락 또는 순수한 악의일 수 있습니다. 이러한 공격자는 신원 도용, IP 조작, 봇넷, 사회 공학 공격, 강압 및 공모 등과 같은 매우 다양한 공격 전략을 시도할 수 있습니다. 이러한 공격을 억제하기 위한 전략은 다양합니다. 우리에게 필요한 것은 포괄적이고 취약하지 않은 방어 방법입니다. .
제 생각에는 가장 중요한 것은 방어 비용보다 공격 비용을 높게 만드는 것인데, 이는 시스템에 대한 성공적인 공격 시작 비용이 그러한 공격을 효과적으로 방어하는 비용보다 높아야 함을 의미합니다. 공격자의 재정적 인센티브를 약화시킴으로써 시스템은 Sybil 공격 및 기타 유형의 사기에 대한 탄력성을 더욱 높일 수 있습니다.
"보안, 효율성, 확장성" 간의 균형
시빌 저항성 합의에서는 각 신원이 독립적이고 고유해야 합니다. 현재 자기 주권(중앙 집중식 제3자의 개입 없이 ID 생성 및 제어)과 개인 정보 보호(개인 정보를 공개하지 않고 ID를 획득 및 활용)를 달성하는 일부 프로토콜이 있습니다. Sybil 공격에 대한 저항, 이 세 가지 차원(Sybil 공격에 대한 저항) , 자기 주권 보호, 개인 정보 보호)는 바로 분산형 ID가 직면한 트릴레마입니다.
Sybil 공격 문제를 해결하고 안정적인 식별 시스템을 구축하려면 Sybil 공격 방어 시스템을 구축할 때 보안, 효율성 및 확장성 간의 균형을 고려해야 합니다. 보안이 높을수록 더 나은 저항을 얻을 수 있지만 시스템의 효율성과 확장성을 제한하게 되며, 반대로 효율성과 확장성을 우선시하면 저항도 약해질 수 있습니다. Sybil 공격에 강한 분산형 ID 시스템을 구축하세요. 이것이 바로 마녀 공격 문제에 대해 단일한 답이 없고 오히려 다양한 접근 방식이 있는 이유입니다.
Gitcoin Passport의 이니셔티브
Gitcoin이 개발한 온체인 신원 자격 증명 시스템인 Gitcoin Passport에서 팀은 사용자의 독립적인 신원을 평가하기 위해 점진적인 고유 인간성 검증과 부울 고유 인간성 검증이라는 두 가지 메커니즘을 사용합니다. 이러한 메커니즘은 사용자의 다양한 행동 성과(예: Twitter 또는 Google 계정 확인 여부, GTC 또는 ETH 보유 여부, Gitcoin Grants 참여 여부)에 가중치를 할당한 다음 Passport가 보유자의 종합 점수를 계산합니다. 포인트는 여권 소지자가 특정 권리, 기능 또는 기타 혜택을 누릴 수 있는지 여부를 결정합니다. 예를 들어, 이전 Gitcoin Grants 베타 라운드에서 2차 매칭 자격을 활성화하려면 기부자의 종합 점수가 최소 15점 이상이어야 합니다.
개발의 다음 단계에서 Gitcoin Passport 팀은 프로젝트가 Sybil 방어를 설계하는 데 도움이 되는 또 다른 메커니즘으로 "가짜 비용" 개념을 탐구하고 있습니다. "위조 비용"은 이해하기 쉬운 지표를 활용하여 에어드랍을 안전하게 배포하는 등 몇 가지 설계 선택 사항을 제공합니다.
"위조 비용" 개념을 구현하는 방법
"위조 비용" 개념은 본질적으로 공격자가 신원을 위조하는 데 더 많은 비용을 들게 하는 전략으로, 신원을 위조하는 데 필요한 자원, 시간, 노력을 방어 구현 비용과 비교하는 것이 핵심입니다. 위조 비용을 높이면 공격자가 사기 행위에 가담할 가능성이 낮아져 시스템 보안이 향상됩니다.
"위조 비용"의 주요 전략이 일반 사용자의 비용을 낮게 유지하면서 공격자의 비용을 높이는 것이라면 우리가 해야 할 일은 방어하는 것보다 공격하는 데 더 많은 비용이 드는 시스템을 만드는 것입니다. 다음은 현재 Sybil 공격에 대한 저항력을 구축하는 데 사용되는 네 가지 주요 접근 방식입니다.
1. 정부가 발행한 신분증(운전면허증, 여권, 신분증 등)을 기반으로 한 확인
2. 생체정보(얼굴 스캔, 지문 또는 망막 스캔 등)를 기반으로 한 확인
3. 직접(회의, 파티 등) 확인
4. 소셜/신뢰 네트워크(Web2 계정, Web3 계정, NFT, ENS 등)를 기반으로 한 검증.
Gitcoin Passport의 향후 버전에서는 단일 솔루션이 Sybil 공격을 완전히 방지할 수 없고 여러 메커니즘을 사용하면 시스템을 보다 효율적으로 만들 수 있기 때문에 여러 메커니즘이 마련되어 있는지 확인하기 위해 이 네 가지 방법에 따라 다양한 동작을 분류하고 검증할 것입니다. 다양한 유형의 공격에 사용됩니다.
잠재적인 불이익
"위조 비용" 개념이 효과적일 수 있지만, 시스템의 총 위조 비용이 시스템의 금액과 동일하다면 부유한 개인만이 신원에 접근할 수 있도록 만들 수 있습니다. 이는 필연적으로 "훌륭한" 결과로 이어질 수 있는 잠재적인 문제를 제시하므로 더 적은 자본이 필요한 검증 메커니즘을 우선시해야 합니다. 재정 상태는 신원 취득에 영향을 주어서는 안됩니다.
프로젝트 당사자에 대한 조언
시빌 공격에 저항하려는 모든 계획은 특정 비용으로 깨질 수 있으므로 프로젝트 당사자는 허용 가능한 사기 정도를 결정하는 데 집중해야 합니다. 개인은 회색이 아닌 적절한 채널을 통해 보다 효과적으로 안티 시빌 인증을 얻을 수 있어야 합니다. 또는 암시장에서 구매하는 경우, 위조 비용을 더 높은 수준으로 설계해야 하지만 실제 사용자가 검증을 완료하지 않도록 균형을 유지하는 데에도 주의가 필요합니다.
Sybil 공격에 저항하는 신원 시스템은 여전히 공모 행위 공격(예: 뇌물 수수)에 취약하다는 점은 주목할 가치가 있습니다. 이상적인 시스템을 위해서는 TCB(Total Cost of Bribery)와 TCF(Total Cost of Fraud)가 시스템 내 시민에게 제공되는 보상 수보다 커야 합니다. 위조 방지에는 비용 기반 지표가 필수적이지만 이것이 항상 위조를 방지하는 가장 효과적인 방법은 아니며 잠재적인 비재정적 이익이 비용보다 클 경우 공격자는 여전히 일부 비용을 기꺼이 부담할 수 있습니다. 예를 들어, 자신의 프로젝트를 홍보하려는 거래상대방은 위조 비용이 상당히 높더라도 여러 개의 가짜 신원을 생성하기 위해 시간과 자원을 기꺼이 소비할 의향이 있을 수 있습니다. 귀중한 정보, 혜택 또는 특권을 얻기 위해 높은 비용을 부담합니다.
다행스럽게도 이러한 공격을 완화하는 데 도움이 될 수 있는 다른 메커니즘이 있으며 Gitcoin은 여러 솔루션을 사용해야만 공격자와의 전투에서 우위를 유지할 수 있다는 것을 깨달았습니다.
공모
"위조 비용" 개념은 커뮤니티에 Sybil 방지 시스템의 보안, 효율성 및 확장성을 설계하는 데 있어 보다 세련되고 직관적인 접근 방식을 제공합니다.
우리는 커뮤니티로부터 보다 관련성이 높은 피드백을 수집하고 싶습니다. Dapps에서 Gitcoin Passport를 사용 중이거나 통합할 계획이라면 전체 점수를 위조 비용과 비교하여 알려주세요. 마지막으로, 기술이 발전함에 따라 일부 사람들의 신원 확인 메커니즘(예: 역튜링 테스트)이 인공 지능에 의해 파괴되기 쉬워졌으며 이는 “ 위조 비용”.엄청난 영향력.
