Nguồn gốc: Trusta Labs

Gần đây, dự án săn phù thủy Connext đã gây ra sự bất mãn và thảo luận sôi nổi trong cộng đồng, một số thành viên trong cộng đồng đe dọa sẽ sử dụng các địa chỉ phù thủy Connext để đầu độc, đặc biệt là các địa chỉ 10% hàng đầu trên zkSync. Mặc dù chủ yếu chỉ là một trò đùa nhưng trên thực tế, một số người dùng đã nói rằng họ đã bị đầu độc. Trusta Labs, một nền tảng bảo mật và phân tích dữ liệu trực tuyến, đã thảo luận về hai chiến lược chính của các cuộc tấn công đầu độc phù thủy, các chiến lược phân cụm và truyền nhãn bắt buộc, đồng thời phân tích một trường hợp thực tế về đầu độc phù thủy trên Polygon trong Connext.

Kiểu đầu độc này có thể khiến nhiều địa chỉ vô tội bị đánh dấu nhầm là phù thủy, điều này sẽ gây hại cho người dùng và toàn bộ cộng đồng, đồng thời cũng sẽ ảnh hưởng đến niềm tin giữa cộng đồng và bên dự án. Vì vậy, Trusta Labs đã phát động "Chương trình Chứng minh Vô tội" (PoIP), đoàn kết với cộng đồng và các bên dự án để đấu tranh chống ngộ độc và để địa chỉ bị nhiễm độc chứng minh sự vô tội của mình. Trong gói PoIP, thông tin liên quan do người dùng gửi sẽ được Trusta xác minh kết hợp với phân tích thủ công và AI và người dùng sẽ nhận được phản hồi trong vòng 1 ngày. Những dữ liệu này sẽ được chia sẻ với nhóm dự án và nhóm chống phù thủy để ngăn chặn phù thủy xác định tội ngộ sát và bảo vệ người dùng tốt hơn.

Cuộc săn phù thủy Connext và vụ đầu độc phù thủy

Connext là giao thức mở L2 cho phép các nhà phát triển xây dựng các ứng dụng có thể sử dụng bất kỳ mã thông báo nào trên bất kỳ chuỗi nào. Tuần trước, Connext đã cập nhật các quy tắc airdrop và công bố kế hoạch thợ săn phù thủy, điều này gây ra sự bất bình và thảo luận sôi nổi trong cộng đồng. Một số thành viên cộng đồng đe dọa sẽ sử dụng địa chỉ phù thủy Connext để đầu độc, đặc biệt là 10% địa chỉ hàng đầu trên zkSync. Trước tiên hãy phác thảo lịch phát sóng Connext:

1. Vào ngày 18 tháng 8, Connext đã công bố airdrop chuỗi chéo của mã thông báo xERC 20 $NEXT.

2. Vào ngày 24 tháng 8, Connext đã khởi động một chương trình báo cáo về phù thủy cộng đồng như HOP và SAFE.

3. Từ ngày 24 tháng 8 đến ngày 1 tháng 9, các thành viên cộng đồng đã xác định và báo cáo những kẻ tấn công Sybil và gửi báo cáo trên Github.

4. Tính đến ngày 1 tháng 9, Dự án Báo cáo Phù thủy Cộng đồng đã thu thập được khoảng 600 báo cáo từ 62.070 địa chỉ ứng cử viên, liên quan đến khoảng 20 nghìn địa chỉ (35%) (https://github.com/connext/community -sybil-reports/issues).

Mặc dù mục đích lựa chọn và khen thưởng những người dùng thực có giá trị là tốt nhưng chúng tôi đã thấy rất nhiều tranh cãi trong cộng đồng về Chương trình báo cáo phù thủy. Trong số đó, "đầu độc" đã trở thành một chủ đề nóng. Một số người dùng địa chỉ phù thủy được báo cáo đã đe dọa đầu độc các địa chỉ ví khác. Mục đích của họ là làm gián đoạn toàn bộ công việc báo cáo phù thủy và kế hoạch airdrop. Đoạn video ngắn về vụ đầu độc, nhưng sau đó hóa ra lại như vậy đó chỉ là để chế nhạo. Mặc dù những vụ ngộ độc này chủ yếu là để cảm nhận bằng miệng nhưng trên thực tế, một số người dùng đã nói rằng họ thực sự bị nhiễm độc.

Thảo luận về chiến lược đầu độc phù thủy

Dựa trên kinh nghiệm phân tích dữ liệu trên chuỗi và kiểm soát rủi ro bảo mật, Trusta Labs đã phân tích và thảo luận về hai phương pháp và chiến lược chính của các cuộc tấn công nhiễm độc âm thầm: phân cụm và lan truyền nhãn bắt buộc, đồng thời tìm ra các trường hợp nhiễm độc thực sự.

Phương pháp đầu độc I (liên kết/phân cụm bắt buộc): Kẻ đầu độc sử dụng các tập lệnh hoặc công cụ hoạt động hàng loạt như phân tán.app để tiến hành chuyển mã thông báo hàng loạt. Họ sẽ thực hiện nhiều lần chuyển tiền nhỏ trong một khoảng thời gian ngắn tới một nhóm địa chỉ vô tội. Tất cả các giao dịch chuyển tiền giả đều gửi cùng một mã thông báo với số lượng rất nhỏ.

Thông qua một số lượng lớn các lần chuyển Token của kẻ độc, tất cả các địa chỉ không liên quan sẽ bị buộc liên kết với nhau để tạo thành một cụm. Vì các địa chỉ bị nhiễm độc có mối quan hệ chuyển hàng loạt và thuộc về một cụm, nên một số thuật toán nhận dạng phù thủy sẽ phân cụm. Tất cả các địa chỉ trong đó được xác định là phù thủy. địa chỉ. Việc phân cụm bắt buộc này hoàn toàn dựa trên mối quan hệ chuyển hàng loạt giữa các địa chỉ này và địa chỉ bị nhiễm độc, mặc dù các địa chỉ này thực sự không liên quan đến nhau.

Ngộ độc II (Tuyên truyền nhãn phù thủy): Lan truyền nhãn là một thuật toán khai thác biểu đồ dựa trên quy tắc các nút được kết nối chặt chẽ trong biểu đồ có xu hướng có cùng một nhãn. Trong hình, các địa chỉ trong hộp đã được đánh dấu là địa chỉ phù thủy do mối quan hệ chuyển tiền kiểu chuỗi của chúng. Kẻ tấn công có thể sử dụng những địa chỉ phù thủy này làm địa chỉ "đầu độc" để cố tình chuyển tiền đến các địa chỉ vô tội, tạo thành một cấu trúc chuỗi mở rộng, từ đó lan truyền thẻ phù thủy đến các địa chỉ vô tội khác.

Việc truyền bá thẻ phù thủy dựa vào các địa chỉ phù thủy hiện có để truyền bá thẻ của họ đến các địa chỉ khác thông qua các mối quan hệ chuyển tiền. Điều này đòi hỏi bản thân kẻ đầu độc phải được coi là phù thủy. Ngược lại, liên kết bắt buộc không yêu cầu địa chỉ phù thủy có sẵn. Bất kỳ địa chỉ nào cũng có thể được sử dụng như một chất đầu độc để tạo ra các mẫu hành vi hàng loạt địa chỉ phù thủy giả một cách giả tạo. Bằng cách này, việc thực hiện dễ dàng hơn và ít tốn kém hơn.

Trong quá trình phân tích dữ liệu trên chuỗi, Trusta đã phát hiện ra một trường hợp ngộ độc Connext trên Polygon, qua phân tích chi tiết về trường hợp này đã giải thích được phương pháp đầu độc nói trên.

Vụ án đầu độc phù thủy Connext thực sự

Như được hiển thị trong hình, địa chỉ đầu độc 0x 6 ab sử dụng phân tán.app để chuyển tiền theo đợt đến bảy địa chỉ vô tội. Chúng tôi đã phân tích chi tiết vụ đầu độc phù thủy Connext với các bằng chứng sau:

1. Quét đa giác hiển thị hồ sơ giao dịch của kẻ đầu độc. Sau khi kẻ đầu độc gửi 1 Matic từ OKX, hành động duy nhất của anh ta là chuyển tiền theo đợt đến 7 địa chỉ này. (https://polygonscan.com/address/0x6ab8472c4f92ecac445191ea787a0e4128c7af81)

2. Việc chuyển giao chất độc diễn ra từ 25/08/2023 05: 49: 40 đến 2023-08-25 05: 52: 12, tức là trong Chương trình Báo cáo Phù thủy Cộng đồng Bối cảnh.

2. Việc chuyển giao chất độc diễn ra từ 25/08/2023 05: 49: 40 đến 2023-08-25 05: 52: 12, tức là trong Chương trình Báo cáo Phù thủy Cộng đồng Bối cảnh.

3. Kẻ đầu độc đã thực hiện 7 vòng chuyển tiền, gửi 0,0001 MATIC đến mỗi địa chỉ trong số 7 địa chỉ trong mỗi vòng. Vì kẻ đầu độc có thể thực hiện nhiều lần chuyển tiền đến cùng một địa chỉ trong một vòng nhất định nên tổng cộng 180 lần chuyển tiền đã được thực hiện trong tất cả 7 vòng chuyển tiền. Bạn có thể tìm thấy danh sách đầy đủ 180 vụ chuyển tiền bị nhiễm độc trong liên kết Google Docs được cung cấp bên dưới. (https://docs.google.com/ Spreadsheets/d/ 1 dR 9 wVZN 1 o 0 _vBixKrxg 6 JSycHj 7 ADQlo /edit?usp=sharingouid= 117000940990722879540 rtpof=truesd=true)

4. Tất cả 7 địa chỉ đều là ứng cử viên cho airdrop Connext. Báo cáo Sybil số 589 (https://github.com/connext/community-sybil-reports/issues/589) đã sử dụng các lần chuyển tiền này làm bằng chứng để cáo buộc bảy địa chỉ này là một cụm Sybil.

5. Không phát hiện chuyển khoản trực tiếp nào giữa 7 địa chỉ này. Ngoài việc chuyển trực tiếp đến các địa chỉ bị nhiễm độc, không có giao dịch nào giữa chúng.

6. Chúng tôi đã phân tích số liệu thống kê hoạt động của Polygon cho các địa chỉ này. Như được hiển thị trong bảng, 7 địa chỉ này hoàn toàn khác nhau về các chỉ số như nguồn tài trợ đầu tiên, ngày giao dịch đầu tiên và cuối cùng, số lượng hợp đồng tương tác, phí giao dịch và số tuần/tháng hoạt động. Sự khác biệt cực độ này có nghĩa là họ không thể thuộc về một nhóm phù thủy do một người điều khiển.

Qua phân tích, chúng tôi kết luận rằng đây là một trường hợp đầu độc thực sự liên quan đến airdrop Connext, sử dụng chiến lược đầu độc liên kết/phân cụm cưỡng bức.

Trusta phát động chương trình “Bằng chứng vô tội” (PoIP)

Phân tích trên chuỗi của Trusta cho thấy nhiều địa chỉ không liên quan đã bị đánh dấu không chính xác là Sybils do các cuộc tấn công đầu độc Sybil, không chỉ trong đợt airdrop Connext mà còn trong nhiều cuộc tấn công bừa bãi khác vào các ví vô tội. Những cuộc tấn công đầu độc như vậy đã gây tổn hại cho người dùng và toàn bộ cộng đồng, đồng thời ảnh hưởng đến niềm tin giữa cộng đồng và bên dự án.

Trusta đã cam kết xây dựng niềm tin nhiều hơn vào Web3 và thế giới mã hóa. Để bảo vệ tốt hơn các địa chỉ vô tội khỏi bị phù thủy đầu độc và cùng nhau chống lại các cuộc tấn công đầu độc, Trusta đã phát động chương trình "Bằng chứng vô tội" (PoIP). Kế hoạch này cho phép các địa chỉ vô tội bị đầu độc chứng minh sự vô tội của họ. Nếu địa chỉ của bạn bị nhiễm độc, bạn có các lựa chọn:

1. Truy cập mục nhập PoIP (đường liên kết bên dưới) và cung cấp các chi tiết bị nhiễm độc, chẳng hạn như địa chỉ ví, địa chỉ bị nhiễm độc, hàm băm và chuỗi giao dịch của bạn. (https://docs.google.com/forms/d/e/ 1 FAIpQLSe_ 1 dl 6 ocyhnDWUtm 9 BBvmWDGL_rDjhc 9 NNpfHXff 2 XhXL 5 ví dụ /viewform)

2. Trusta sẽ kết hợp các thuật toán phân tích con người và AI để cùng xác định xem có nên đầu độc cuộc tấn công hay không.

3. Bạn sẽ nhận được kết quả phán quyết qua email trong vòng một ngày.

4. Những dữ liệu này sẽ cùng nhau tạo thành cơ sở dữ liệu, chứng minh rằng địa chỉ của bạn không liên quan gì đến địa chỉ bị đầu độc!

Trusta đã ra mắt dịch vụ nhận dạng người dùng thực TrustScan và sản phẩm chấm điểm giá trị trên chuỗi TrustGo (https://www.trustalabs.ai/), được Gitcoin Passport và các cộng đồng hàng đầu khác sử dụng, sẽ kết hợp những dữ liệu này để liên tục cải thiện người dùng. nhận dạng Độ chính xác của kết quả. Đồng thời, Trusta cũng sẽ cung cấp những dữ liệu này cho tất cả các bên dự án và nhóm chống sybil để ngăn chặn những địa chỉ vô tội này bị xác định nhầm là địa chỉ sybil do các cuộc tấn công đầu độc.