Что такое обнаружение Sybil и почему это важно?
Обнаружение Sybil в контексте криптовалютных аирдропов относится к систематической идентификации пользователей, контролирующих несколько кошельков (идентичностей), чтобы несправедливо претендовать на непропорциональную долю распределений токенов. Термин 'sybil' происходит из книги 1973 года о женщине с диссоциативным расстройством личности — в информатике атака sybil — это когда одна сущность создаёт множество поддельных идентичностей.
Протоколы аирдропов сталкиваются с фундаментальной дилеммой: они хотят распределить токены широкой базе настоящих пользователей, но искушённые операторы создают сотни или тысячи кошельков для получения множества аллокаций.
Ставки огромны. Аирдроп ZRO LayerZero в 2024 году идентифицировал и дисквалифицировал более 803 000 кошельков как sybil — почти 69 % всех адресов, взаимодействовавших с протоколом. Распределение STRK Starknet также исключило примерно 40 % подходящих адресов.
Последствие поимки как правило бинарное и суровое: все связанные кошельки дисквалифицируются. Нет частичного наказания — месяцы фарминга, комиссии за газ и альтернативные издержки полностью теряются.
Это руководство объясняет точно, как работают системы обнаружения sybil, чтобы вы могли реализовать эффективные контрмеры.
Технологический стек обнаружения Sybil
Современное обнаружение sybil использует многоуровневый технологический стек, сочетающий on-chain аналитику, off-chain сбор данных, теорию графов, машинное обучение и ручной анализ.
Уровень 1 — On-chain сбор данных: Каждая транзакция на публичном блокчейне постоянно записана и публично доступна. Для каждого кошелька вычисляются признаки: общее количество транзакций, уникальные контракты, объём, временные метки, источники финансирования и паттерны цен газа.
Уровень 2 — Off-chain сбор данных: Здесь появляются IP-адреса и отпечатки браузера. RPC-провайдеры, такие как Infura и Alchemy, записывают IP-адреса, отправляющие RPC-запросы для каждого кошелька.
Уровень 3 — Построение графа: Собранные данные структурируются как граф. Кошельки — узлы, а рёбра связывают кошельки, имеющие общие атрибуты.
Уровень 4 — Алгоритмы обнаружения сообществ: Алгоритмы теории графов идентифицируют кластеры тесно связанных кошельков (алгоритм Лувена, Label Propagation).
Уровень 5 — Классификация машинного обучения: ML-модели, обученные на известных случаях sybil, классифицируют кластеры кошельков.
Уровень 6 — Ручной анализ: Для пограничных случаев аналитики-люди проверяют кластеры кошельков вручную.
Анализ IP-адресов: Основной вектор обнаружения
Кластеризация IP-адресов — единственный наиболее эффективный и наиболее часто используемый сигнал обнаружения sybil.
Как собираются данные IP: 1. Логи RPC-провайдера: Когда MetaMask отправляет транзакцию через Infura, Infura записывает исходный IP-адрес вместе с адресом кошелька. 2. Логи фронтенда dApp: Когда вы посещаете app.uniswap.org, веб-сервер записывает ваш IP. 3. Данные аналитического SDK: Многие dApp встраивают аналитические SDK, собирающие IP-адреса и отпечатки браузера. 4. Логи нод блокчейна: Полные ноды могут записывать IP-адреса пиров.
Как анализируются данные IP: - Простая кластеризация: Группировка всех кошельков, имеющих общий IP-адрес. - Временной анализ IP: Даже при ротации IP, общая история IP может связывать кошельки. - Оценка качества IP: Datacenter-IP вызывают больше подозрений, чем мобильные. IP операторов мобильной связи CryptoProxy классифицируются как 'Мобильный/Сотовый' и получают наименьший уровень подозрений.
Контрмера — Выделенные мобильные прокси: Выделенные 4G мобильные прокси CryptoProxy нейтрализуют IP-кластеризацию, предоставляя уникальный реальный IP мобильного оператора на идентичность кошелька.
Отпечатки браузера: Второй уровень обнаружения
Отпечатки браузера создают уникальный идентификатор для каждого устройства на основе того, как браузер рендерит контент, какое оборудование присутствует и какая программная конфигурация активна.
Canvas-отпечаток: Это самый мощный компонент отпечатка браузера. Когда веб-сайт рисует невидимые фигуры на элементе HTML5 canvas и считывает данные пикселей, точный рендеринг отличается в зависимости от GPU, версии драйвера и операционной системы. Результирующий хэш высоко уникален.
WebGL-отпечаток: Аналогично canvas, но использует 3D-рендеринг. WebGL API раскрывает строки поставщика и рендерера GPU.
Отпечаток Audio Context: Web Audio API обрабатывает аудио по-разному в зависимости от аудиооборудования и аудиостека OS.
Отпечаток шрифтов: Измеряя отрисованную ширину и высоту текста в сотнях шрифтов, веб-сайт может определить, какие шрифты установлены.
Отпечаток экрана и дисплея: Разрешение экрана, глубина цвета, соотношение пикселей устройства.
Контрмера — Антидетект-браузеры: Антидетект-браузеры, такие как AdsPower, GoLogin, Multilogin и Dolphin Anty, подделывают каждый из этих компонентов отпечатка для каждого профиля.
On-chain графовый анализ и обнаружение кластеров
On-chain анализ выполняется полностью на публично доступных данных блокчейна и не требует off-chain сигналов.
Анализ потока финансирования: Инструменты обнаружения sybil отслеживают происхождение средств в каждом кошельке. Анализ рекурсивный — отслеживает назад через несколько переходов.
Контрмера: Используйте действительно разнообразные источники финансирования. Несколько CEX-аккаунтов на разных платформах, пополненных в разное время, разными методами.
Анализ графа транзакций: Помимо финансирования, полная история транзакций создаёт граф. Инструменты применяют алгоритмы обнаружения сообществ (Лувен, Girvan-Newman, Label Propagation).
Контрмера: Максимизируйте разнообразие протоколов в кошельках. Если вы фармите 8 протоколов, назначьте каждому кошельку разные подмножества из 4–5.
Прямые переводы: Любой прямой перевод между двумя кошельками создаёт сильное ребро в графе транзакций.
Контрмера: НИКОГДА не отправляйте токены напрямую между фарминговыми кошельками. Всегда маршрутизируйте через CEX-депозит/вывод или DEX-агрегатор.
Анализ временной корреляции
Временной анализ исследует тайминг транзакций между кошельками. Даже при идеальной изоляции IP, отпечатков и финансирования синхронизированный тайминг может раскрыть кластеры sybil.
Тайминг на микроуровне (секунды до минут): Если Кошелёк A отправляет транзакцию в 14:32:15 UTC, а Кошелёк B — в 14:32:47 UTC (32 секунды спустя), и этот паттерн повторяется, кошельки скоррелированы.
Контрмера: Добавьте настоящую случайность к своему таймингу. Не используйте только фиксированную задержку — используйте случайную задержку из реалистичного распределения.
Тайминг на макроуровне (часы до дней): Инструменты ищут кошельки, которые последовательно активны в одни и те же часы дня.
Контрмера: Распределите активность кошелька по разным временным окнам.
Корреляция первой и последней транзакции: Если 20 кошельков совершили первую транзакцию в течение одной недели, это сигнал корреляции времени создания.
Контрмера: Распределите создание кошельков на недели или месяцы.
Машинное обучение и обнаружение поведенческих паттернов
Наиболее продвинутые системы обнаружения sybil используют ML-модели, которые учатся идентифицировать sybil-поведение из обучающих данных.
Обучающие данные: ML-модели обучаются на размеченных наборах данных известных sybil и легитимных кошельков из предыдущих аирдропов.
Фичер-инжиниринг: Модели анализируют сотни признаков на кошелёк: - Временные признаки: среднее время между транзакциями, стандартное отклонение интервалов - Признаки объёма: общее количество транзакций, средняя стоимость - Признаки протокола: количество уникальных контрактов, индекс разнообразия протоколов - Графовые признаки: входящий/исходящий градус, коэффициент кластеризации - Поведенческие признаки: предпочтения цен газа, паттерны хранения токенов
Стратегия контрмер: 1. Избегайте однородности признаков: Самый сильный ML-сигнал — низкая дисперсия в группе кошельков. 2. Введите настоящее поведенческое разнообразие: Каждый кошелёк должен иметь измеримо разный профиль. 3. Включайте органические взаимодействия: Кошельки, которые ТОЛЬКО взаимодействуют с аирдроп-подходящими протоколами, имеют характерную поведенческую сигнатуру. 4. Длинные истории активности: Кошельки с историей транзакций на месяцы или годы с меньшей вероятностью будут классифицированы как sybil.
Как мобильные прокси CryptoProxy побеждают обнаружение
4G мобильные прокси CryptoProxy предоставляют конкретные технические преимущества, непосредственно противодействующие основным векторам обнаружения sybil.
Реальные IP оператора через CGNAT: Модемы CryptoProxy подключаются к польским мобильным операторам (T-Mobile, Orange, Play, Plus) через 4G LTE. Эти операторы используют CGNAT, что означает, что каждый публичный IP-адрес разделяется сотнями или тысячами реальных мобильных пользователей. IP мобильных операторов никогда не попадают в базы данных чёрных списков.
Выделенное распределение модема: Каждая подписка CryptoProxy даёт вам выделенный порт на физическом модеме. Ни один другой клиент CryptoProxy не делит ваш слот модема.
Аппаратная ротация IP: Когда вы запрашиваете ротацию IP, физический модем перезапускает сотовое соединение с оператором и получает по-настоящему новый IP.
Поддержка нескольких протоколов: CryptoProxy предоставляет SOCKS5, HTTP, OpenVPN и Xray на каждом модеме.
Скорость ротации 2 секунды: Смены IP завершаются примерно за 2 секунды.
Последовательность геолокации: Все IP CryptoProxy геолоцируются в Польше, что важно для соответствия часового пояса антидетект-браузера геолокации IP.
Создание необнаруживаемой идентичности кошелька
Вот исчерпывающий чеклист для создания идентичности кошелька, неотличимой от легитимного, независимого пользователя.
Настройка инфраструктуры: - Назначьте выделенный мобильный прокси CryptoProxy (протокол SOCKS5) - Создайте профиль антидетект-браузера с уникальными настройками отпечатка - Установите часовой пояс на Europe/Warsaw, язык на pl-PL или en-US - Проверка: pixelscan.net показывает польский мобильный IP оператора, нет утечек WebRTC - Установите MetaMask со свежей, независимо сгенерированной сид-фразой
Финансирование: - Финансируйте из уникального источника (другой CEX-аккаунт, другой мост) - Используйте нестандартную сумму (не круглое число) - Подождите минимум 24 часа после создания кошелька перед финансированием
Поведенческий профиль: - Определите уникальную 'личность' для этого кошелька: предпочитаемые протоколы, часы активности - Планируйте 4–8-недельный календарь активности с рандомизированным таймингом - Включайте нефарминговую активность: обмен токенов, взаимодействия с NFT
Безопасность: - Никогда не обращайтесь к этому кошельку с другого профиля или IP - Никогда не переводите токены напрямую в/из других фарминговых кошельков
Кейс-стади: Анализ обнаружения Sybil LayerZero
Аирдроп ZRO LayerZero (июнь 2024) предоставляет наиболее детальный публичный кейс обнаружения sybil в масштабе.
Подход LayerZero: LayerZero сотрудничал с Chaos Labs для реализации многофазного процесса обнаружения sybil: - Фаза 1 — Самоотчётность сообщества: LayerZero предложил программу вознаграждений, где операторы sybil могли добровольно сообщать о своих кластерах в обмен на сниженную аллокацию (15 % от оригинала). - Фаза 2 — Автоматизированное обнаружение: Chaos Labs запустил ML-модели по всему датасету. - Фаза 3 — Охота за наградами сообществом. - Фаза 4 — Ручная проверка и апелляции.
Результаты: Около 803 000 кошельков были помечены как sybil из ~1,16 млн подходящих адресов (69 % доля маркировки).
Что помечало кошельки: - Общие IP-адреса между кошельками - Последовательное финансирование из одного источника с похожими суммами - Практически идентичные паттерны взаимодействий
Что выжило: - Кошельки с уникальными источниками финансирования - Кошельки с длинными историями активности - Кошельки с мобильными прокси-IP (не датацентр)
Защита стратегии на будущее: Новые методы обнаружения
Технологии обнаружения sybil быстро развиваются. Оставаться впереди требует понимания направления развития отрасли.
Новые технологии обнаружения: 1. Межпротокольный обмен данными: Всё больше протоколов делятся off-chain данными с аналитическими фирмами. 2. Proof of Humanity / Proof of Personhood: Worldcoin, Gitcoin Passport и Galxe экспериментируют с системами верификации личности. 3. Отпечатки на устройстве: Помимо отпечатков браузера, будущее обнаружение может анализировать более глубокие сигналы устройства. 4. Анализ социального графа: Некоторые протоколы анализируют социальные связи вместе с on-chain активностью. 5. Анализ сетевого трафика: Продвинутое обнаружение может анализировать метаданные сетевого уровня.
Стратегия адаптации: - Обновляйте антидетект-браузер до последней версии - Следите за объявлениями критериев аирдропов для новых требований к идентификации - Поддерживайте подмножество кошельков с сильными социальными профилями - Используйте наиболее продвинутые протоколы CryptoProxy (Xray для обфускации трафика)
Основной принцип остаётся неизменным: чем ближе каждая идентичность кошелька к реальному независимому пользователю, тем более устойчивой она будет против любого метода обнаружения.
Готовы начать?
Попробуйте CryptoProxy бесплатно в течение 1 часа. Карта не требуется.