撰文:Nicky,Foresight News
本文基於《Detecting Sybil Addresses in Blockchain Airdrops: A Subgraph-based Feature Propagation and Fusion Approach》論文內容編譯整理
近日幣安風控部門聯合 Zand AI 部門與 ZEROBASE 共同發佈了一篇關於女巫攻擊的論文,為幫助讀者快速瞭解論文核心內容,筆者在研讀論文後總結出以下關於該論文的核心內容。
在加密貨幣空投活動中,總有一群特殊玩家在陰影中運作。他們並非普通用戶,而是利用自動化腳本批量創建數百甚至數千個虛假地址 — 這就是臭名昭著的「女巫地址」。這些地址像寄生蟲般吸附在 Starknet、LayerZero 等知名項目的空投活動中。它們蠶食項目方預算,稀釋真實用戶獎勵,更破壞區塊鏈公平性的根基。
面對這場持續的技術貓鼠遊戲,幣安風控團隊聯合學術機構開發出一套名為「基於子圖的 lightGBM」的 AI 檢測系統,在真實數據測試中識別準確率達 90%。
女巫地址的三張「身份證」
為什麼這些作弊地址能被精準鎖定?研究團隊通過分析 193,701 個真實地址(其中 23,240 個被確認為女巫地址)的交易記錄,發現它們必然留下三類行為痕跡:
時間指紋是首要破綻。女巫地址的操作具有詭異的「精準卡點」特性:從首次接收燃料費(gas fee)、完成第一筆交易到參與空投活動,這些關鍵步驟通常在極短時間內密集完成。相比之下,真實用戶的操作時間分佈是隨機的,畢竟沒人會為領一次空投專門創建地址,用完立刻廢棄。
資金軌跡則暴露了經濟動機。這些地址的餘額永遠維持在「夠用就好」的狀態:略高於空投門檻的最低金額(節省資金成本),一旦收到獎勵便火速轉出。更明顯的是,它們批量操作時轉賬金額呈現高度一致性,不像真實用戶交易存在自然波動。
關係網絡成為終極證據。通過構建交易圖譜,團隊觀察到三種典型拓撲結構:
星型網絡:一個「指揮中心」向數十個子地址分發資金。
鏈式結構:資金像接力棒在地址間線性傳遞偽造活躍記錄。
樹狀擴散:利用多層分支結構企圖規避檢測。
這些模式暴露了程序化操作的協同性,也是傳統檢測手段最難模仿的特徵。
兩層關係網:AI 偵探的破案工具
追蹤整個區塊鏈的交易數據如同大海撈針。該研究團隊採用兩層交易子圖模型 — 就像偵探調查時,不僅看目標人物(地址 A),還查他的直接聯繫人(給 A 轉賬的地址、A 轉賬過的地址)以及這些聯繫人的關聯方(二級關係)。
更重要的是獨創的「特徵融合技術」:系統將鄰居地址的行為特徵聚合成目標地址的「行為檔案」。例如統計某個地址所有關聯方轉出金額的最小值、最大值、平均值、波動幅度,形成描述資金流動規律的複合指標;或是計算鄰居們的入度出度(關聯地址數量)判斷網絡密度。這種設計讓系統在分析超 580 萬筆交易時仍保持高效性,避免了傳統方法追蹤全網數據的計算災難。
實戰檢驗:在幣安空投中捕獲「幽靈」
這套系統在幣安靈魂綁定代幣(BAB)的真實空投數據中經受住了考驗。BAB 是幣安 2022 年推出的靈魂綁定代幣,用於驗證完成 KYC 的真實用戶身份,因此成為檢測女巫行為的理想試驗場。
團隊首先通過人工分析和聚類篩選出可疑地址,設立申訴審核機制確認最終的女巫地址標籤。清洗數據時排除機構地址(如交易所熱錢包)、智能合約和存活超 1 年的地址(女巫為避檢測常廢棄舊地址),確保數據集的純淨性。
結果顯示,新方法對三類作弊網絡的識別率達到了較高的精度:
星型網絡識別率 99%(舊方法最高 95%)
鏈式結構識別率 100%(舊方法最高 95%)
樹狀擴散識別率 97%(舊方法最高 95%)
四大核心指標全部突破 0.9: 精確率達 0.943(舊最優模型為 0.796)、召回率達 0.918(意味超 91% 的女巫地址被捕獲)、F1 綜合分數達 0.930、AUC 值達 0.981(接近完美分類)。這意味著項目方可大幅減少誤傷真實用戶的風險,同時堵住作弊漏洞。
技術邊界與未來戰場
該技術當前主要適用於長期空投場景(如分階段發放的靈魂綁定代幣),因為這類活動能積累足夠的標籤數據供 AI 學習。在區塊鏈兼容性上,它支持以太坊虛擬機(EVM)兼容鏈(如 BNB Chain、Polygon),暫不適用於比特幣等 UTXO 模型鏈,不過論文指出,高 Gas 成本使空投活動極少在 UTXO 鏈開展,實際影響有限。
研究團隊強調,此技術的潛力遠超空投領域。由於它通過交易網絡與行為模式識別異常,同樣可應用於:
偵測市場操縱行為(如拉盤砸盤中的協同地址)。
評估代幣流動性風險(識別虛假交易對)。
構建鏈上信用評分體系。
隨著女巫攻擊策略持續進化,這場守護 Web3 公平性的技術軍備競賽,將推動檢測系統向更智能、更通用的方向迭代發展。
