Đội ngũ kiểm soát rủi ro Binance và cộng đồng học thuật đã đề xuất một hệ thống phát hiện mới dựa trên "AI + phân tích đồ thị blockchain" để phát hiện địa chỉ Phù thủy. Nó thực hiện như thế nào?
Được viết bởi Nicky, Foresight News
Gần đây, Binance Risk Control Department, Zand AI Department và ZEROBASE đã cùng nhau phát hành một bài báo về các cuộc tấn công của Phù thủy . Để giúp độc giả nhanh chóng hiểu được nội dung cốt lõi của bài báo, tác giả đã tóm tắt nội dung cốt lõi sau đây của bài báo sau khi đọc bài báo.
Trong airdrop crypto , luôn có một nhóm người chơi đặc biệt hoạt động trong bóng tối. Họ không phải là người dùng thông thường, nhưng sử dụng các tập lệnh tự động để tạo hàng loạt hàng trăm hoặc thậm chí hàng nghìn địa chỉ giả - "địa chỉ Phù thủy" khét tiếng. Những địa chỉ này giống như spam gắn liền với airdrop của các dự án có tiếng như Starknet và LayerZero. Họ ăn hết ngân sách của các bên tham gia dự án, làm loãng phần thưởng của người dùng thực và làm suy yếu nền tảng công bằng blockchain.
Đối diện trò chơi mèo vờn chuột kỹ thuật đang diễn ra này, đội ngũ kiểm soát rủi ro Binance đã làm việc với các tổ chức học thuật để phát triển một hệ thống phát hiện AI có tên là "subgraph-based lightGBM", có tỷ lệ nhận dạng chính xác là 90% trong các thử nghiệm dữ liệu thực tế.
Ba "Thẻ căn cước" của Địa chỉ Phù thủy
Tại sao những địa chỉ gian lận này có thể được nhắm mục tiêu chính xác? Đội ngũ nghiên cứu đã phân tích hồ sơ giao dịch của 193.701 địa chỉ thực (23.240 trong đó được xác nhận là địa chỉ Phù thủy) và phát hiện ra rằng chúng phải để lại ba loại dấu vết hành vi:
Dấu vân tay thời gian là lỗi chính. Hoạt động của địa chỉ Phù thủy có một tính năng "điểm thẻ chính xác" kỳ lạ: từ lần đầu tiên nhận được phí gas , hoàn thành giao dịch đầu tiên cho đến khi tham gia hoạt động airdrop, các bước chính này thường được hoàn thành một cách chuyên sâu trong thời gian rất ngắn. Ngược lại, phân phối thời gian hoạt động của người dùng thực là ngẫu nhiên. Rốt cuộc, không ai sẽ tạo một địa chỉ cụ thể để nhận airdrop và từ bỏ nó ngay sau khi sử dụng.
Quỹ theo dõi tiết lộ động lực kinh tế. Số dư của các địa chỉ này luôn được giữ ở trạng thái "vừa đủ": cao hơn một chút so với số tiền tối thiểu của ngưỡng airdrop(tiết kiệm chi phí quỹ) và sau khi nhận được phần thưởng, nó sẽ nhanh chóng được chuyển ra ngoài. Rõ ràng hơn, số tiền chuyển khoản rất nhất quán khi chúng được vận hành theo từng đợt, không giống như sự biến động tự nhiên của các giao dịch người dùng thực tế.
Mạng lưới quan hệ trở thành bằng chứng cuối cùng. Bằng cách xây dựng biểu đồ giao dịch, đội ngũ đã quan sát được ba cấu trúc tôpô điển hình:
- Mạng lưới Star: một "trung tâm chỉ huy" phân phối tiền cho hàng chục địa chỉ phụ.
- Cấu trúc Chuỗi: Tiền được chuyển tuyến tính giữa các địa chỉ như một cây gậy, ngụy tạo hồ sơ hoạt động.
- Sự khuếch tán của cây: Sử dụng cấu trúc phân nhánh nhiều lớp để cố gắng tránh bị phát hiện.
Các mô hình này cho thấy sự phối hợp của các hoạt động được lập trình, đây cũng là tính năng khó bắt chước nhất mà các phương pháp phát hiện truyền thống có thể làm được.
Mạng hai lớp: Công cụ giải quyết tội phạm của thám tử AI
Theo dõi dữ liệu giao dịch của toàn bộ blockchain giống như mò kim đáy bể. Đội ngũ nghiên cứu đã áp dụng mô hình đồ thị giao dịch hai lớp - giống như một cuộc điều tra thám tử, không chỉ xem xét người mục tiêu (địa chỉ A), mà còn kiểm tra các liên hệ trực tiếp của người đó (các địa chỉ chuyển tiền cho A, các địa chỉ mà A đã chuyển tiền đến) và các bên liên quan của các liên hệ này (mối quan hệ thứ cấp).
Quan trọng hơn, "công nghệ hợp nhất tính năng" ban đầu tổng hợp các tính năng hành vi của các địa chỉ lân cận thành một "hồ sơ hành vi" của địa chỉ mục tiêu. Ví dụ, phạm vi tối thiểu, tối đa, trung bình và dao động của số tiền được chuyển bởi tất cả các bên liên quan của một địa chỉ nhất định được tính để tạo thành một chỉ báo tổng hợp mô tả quy luật dòng vốn; hoặc mức độ vào và mức độ ra (số địa chỉ liên quan) của các lân cận được tính toán để xác định mật độ mạng. Thiết kế này cho phép hệ thống duy trì hiệu quả cao khi phân tích hơn 5,8 triệu giao dịch, tránh thảm họa tính toán của phương pháp truyền thống để theo dõi dữ liệu trên toàn bộ mạng.
Đã được kiểm chứng: Bắt “bóng ma” trong airdrop Binance
Hệ thống này đã được thử nghiệm trong dữ liệu airdrop thực tế của Binance SoulBound Token (BAB). BAB là một token soul-bound Binance ra mắt vào năm 2022. Nó được sử dụng để xác minh danh tính của người dùng thực đã hoàn thành KYC, khiến nó trở thành nền tảng thử nghiệm lý tưởng để phát hiện hành vi Phù thủy.
Đầu tiên, đội ngũ sàng lọc các địa chỉ đáng ngờ thông qua phân tích thủ công và phân cụm, sau đó thiết lập cơ chế xem xét khiếu nại để xác nhận nhãn địa chỉ Phù thủy cuối cùng. Khi làm sạch dữ liệu, các địa chỉ tổ chức (như ví nóng sàn giao dịch), hợp đồng thông minh và địa chỉ đã tồn tại hơn 1 năm (Phù thủy thường loại bỏ các địa chỉ cũ để tránh bị phát hiện) đã bị loại trừ để đảm bảo tính tinh khiết của tập dữ liệu.
Kết quả cho thấy phương pháp mới đạt độ chính xác cao trong việc xác định ba loại mạng gian lận:
- Tỷ lệ nhận dạng mạng sao 99% (phương pháp cũ lên tới 95%)
- Tỷ lệ nhận dạng cấu trúc Chuỗi 100% (lên đến 95% với phương pháp cũ)
- Tỷ lệ nhận dạng khuếch tán cây 97% (lên đến 95% đối với phương pháp cũ)
Cả bốn chỉ báo cốt lõi đều vượt quá 0,9: tỷ lệ chính xác đạt 0,943 (mô hình tối ưu cũ là 0,796), tỷ lệ thu hồi đạt 0,918 (có nghĩa là hơn 91% địa chỉ Phù thủy đã được nắm bắt), điểm toàn diện F1 đạt 0,930 và giá trị AUC đạt 0,981 (gần như phân loại hoàn hảo). Điều này có nghĩa là dự án có thể giảm đáng kể rủi ro vô tình gây hại cho người dùng thực và lấp đầy các lỗ hổng gian lận.
Ranh giới công nghệ và chiến trường tương lai
Công nghệ này hiện chủ yếu áp dụng cho các kịch bản airdrop dài hạn (chẳng hạn như token soul-bound được phát hành theo từng giai đoạn), vì các hoạt động như vậy có thể tích lũy đủ dữ liệu được gắn nhãn để AI học. Về khả năng tương thích blockchain , nó hỗ trợ Chuỗi tương thích với Ethereum Virtual Machine (EVM) (chẳng hạn như BNB Chain, Polygon ) và không áp dụng cho Chuỗi mô hình UTXO như Bitcoin . Tuy nhiên, bài báo chỉ ra rằng chi phí gas cao khiến các hoạt động airdrop hiếm khi được thực hiện trên Chuỗi UTXO và tác động thực tế bị hạn chế.
Đội ngũ nghiên cứu nhấn mạnh rằng tiềm năng của công nghệ này vượt xa lĩnh vực airdrop. Vì nó có thể xác định các bất thường thông qua mạng lưới giao dịch và các mô hình hành vi, nó cũng có thể được áp dụng cho:
- Phát hiện thao túng thị trường (chẳng hạn như các địa chỉ được phối hợp trong bơm giá và xả).
- Đánh giá rủi ro thanh khoản token (xác định cặp giao dịch giả tạo).
- Xây dựng hệ thống chấm điểm tín dụng Chuỗi.
Khi các chiến lược tấn công Phù thủy tiếp tục phát triển, cuộc chạy đua công nghệ này nhằm bảo vệ tính công bằng của Web3 sẽ thúc đẩy hệ thống phát hiện phát triển theo hướng thông minh hơn và phổ quát hơn.
Liên kết gốc: https://arxiv.org/abs/2505.09313
