この記事の出典: Gitcoin
翻訳者:吾妻央
翻訳者:吾妻央
シビル攻撃 (エアドロップ業界では一般的に「髪の毛を引っ張る攻撃」として知られています) は非常に深刻な問題であり、分散型ネットワークの信頼性と完全性を破壊します。
分散メカニズムは「一意のアイデンティティの仮定」に基づいて動作します。各参加者はネットワーク上で独立したアイデンティティを持ち、異なるアイデンティティ間で同等の発言権を持ちます。ただし、Sybil 攻撃によって単一のユーザーが作成された場合、複数の偽の場合、この仮定は成り立ちません。 ID が仮定され、システムが操作されます。
シビル攻撃を通じて、ユーザーは複数の偽のアドレスを作成し、単一のアドレスをはるかに超えるエアドロップ報酬を得ることができます。この行為は報酬の分配を歪め、実際のユーザーにインセンティブを与えるはずの本来のエアドロップ プログラムを台無しにします。
Gitcoin の二次マッチング メカニズムと投票メカニズムも、上記の「一意のアイデンティティの仮定」に基づいて動作します。Sybil 攻撃に抵抗できない場合、投票と資金が予期せぬ偽のアイデンティティに不均衡に分配される可能性があります。受け取ったものはカットされました。
副題
ゲームを打破する鍵はどこにあるのか?
シビル攻撃の種類は非常に複雑で、開始者は「科学者」、犯罪組織、さらには国民国家である場合もあり、動機は利益、娯楽、または純粋な悪意である場合もあります。これらの敵対者は、個人情報の盗難、IP 操作、ボットネット、ソーシャル エンジニアリング攻撃、強制と共謀など、非常に異なる攻撃戦術を試みる可能性があります。これらの攻撃を阻止するための戦術はさまざまです。必要なのは、包括的で脆弱性のない防御方法です。
副題
「セキュリティ、効率、拡張性」のバランス
シビル耐性コンセンサスでは、各アイデンティティが独立していて一意であることが必要です。現在、自己主権(中央集権的な第三者の関与なしにアイデンティティの作成と制御)とプライバシー(個人情報を明らかにすることなくアイデンティティの取得と利用)を実現するプロトコルがいくつかあります。 シビル攻撃に対する耐性、この 3 つの側面(シビル攻撃への耐性) 、自己主権の保護、プライバシーの保護)は、まさに分散型アイデンティティが直面するトリレンマです。
副題
Gitcoinパスポートの取り組み
Gitcoin によって開発されたオンチェーン ID 認証システムである Gitcoin Passport では、チームはユーザーの独立した ID を評価するために、段階的固有人間性検証とブール固有人間性検証という 2 つのメカニズムを使用しています。これらのメカニズムは、ユーザーのさまざまな行動実績 (Twitter または Google アカウントを認証したかどうか、GTC または ETH を保有しているかどうか、Gitcoin Grants に参加したかどうかなど) に重みを割り当て、その後、Passport が保有者の複合スコアを計算します。スコアによって、パスポート所有者が特定の権利、機能、その他の特典のロックを解除できるかどうかが決まります。たとえば、Gitcoin Grants ベータ ラウンドの最終ラウンドで二次マッチング資格を有効にするには、寄付者は少なくとも 15 以上の複合スコアを持っている必要があります。
副題
「偽造コスト」の概念をどのように実装するか
「偽造のコスト」の概念は本質的に、攻撃者が ID を偽造するコストをより高くするための戦略であり、重要な点は、ID の偽造に必要なリソース、時間、労力と防御の実装コストを比較することです。偽造のコストを増やすことで、攻撃者が不正行為を行う可能性が低くなり、システムのセキュリティが向上します。
「コストの偽造」の主な戦略が、一般ユーザーのコストを低く抑えながら攻撃者のコストを引き上げることである場合、私たちがしなければならないことは、防御よりも攻撃の方がコストがかかるシステムを作成することです。今日のシビル耐性を構築するための 4 つの主なアプローチは次のとおりです。
1. 政府発行の身分証明書(運転免許証、パスポート、ID カードなど)による確認。
2. 生体情報に基づく認証(顔スキャン、指紋または網膜スキャンなど)。
3. 対面(会議、パーティーなど)での確認。
4. ソーシャル/トラストネットワークに基づく認証 (Web2 アカウント、Web3 アカウント、NFT、ENS など)。
副題
潜在的な不利な点
副題
プロジェクト関係者へのアドバイス
シビル攻撃に対抗する計画は、一定のコストを支払えば解読される可能性があるため、プロジェクト当事者は、許容できる不正の程度を判断することに重点を置く必要があります。個人は、グレーな方法ではなく、適切なルートを通じてより効率的に反シビル認定を取得できる必要があります。またはブラックマーケットで購入する; 偽造のコストをより高いレベルで設計する必要がありますが、実際のユーザーが認証を完了しないようにバランスを維持することにも注意を払う必要があります。
Sybil 耐性の ID システムは依然として共謀攻撃 (贈収賄など) に対して脆弱であることに注意してください。理想的なシステムでは、TCB (贈収賄の総コスト) と TCF (不正行為の総コスト) が、システム内で国民が利用できる報酬の数より大きくなければなりません。コストベースの指標は偽造と戦う上で不可欠ですが、それが常に偽造を防止する最も効果的な方法であるとは限りません。また、潜在的な非財務上のメリットがコストを上回る場合、攻撃者は依然としてある程度のコストを負担する可能性があります。たとえば、独自のプロジェクトを宣伝したい取引相手は、たとえ偽造コストがかなり高くても、複数の偽の ID を作成するために時間とリソースを費やすことをいとわないかもしれません。また、莫大な資金的優位性を持つ相手も喜んでいるかもしれません。貴重な利益や特権を得るために高額な費用を負担すること。
幸いなことに、これらの攻撃を軽減するのに役立つメカニズムは他にもあり、Gitcoin は、複数のソリューションが攻撃者との戦いで優位性を維持する唯一の方法であることに気づきました。
共謀
「偽造コスト」の概念は、Sybil 耐性システムのセキュリティ、効率、拡張性を設計するための、より詳細で直感的なアプローチをコミュニティに提供します。
コミュニティからより関連性の高いフィードバックを収集したいと考えています。 Dapps で Gitcoin Passport を使用している場合、または統合を計画している場合は、全体のスコアと偽造コストとの比較を教えてください。最後に、テクノロジーが進歩するにつれて、一部の人々の識別メカニズム (逆チューリング テストなど) が人工知能に対してより脆弱になっていることを付け加えておきたいと思います。これは、「個人識別のコスト」の方法や設計にもマイナスの影響を与える可能性があります。偽造」。多大な影響力。
