譯者 | 陳峻

審校 | 孫淑娟

不知您是否聽說過女巫攻擊（Sybil Attack）。其中，“Sybil”一詞來自一位名叫Shirley Ardell Mason（又名Sybil Dorsett）的藝術(shù)家，她曾被診斷出患有多重人格障礙。顧名思義，此類攻擊往往發(fā)生在當(dāng)一個(gè)用戶使用了多個(gè)虛假身份（像極了具有多重身份的女巫），去破壞或以其他方式獲得對(duì)于網(wǎng)絡(luò)的控制。近年來，有越來越多的在線假身份和分布式拒絕服務(wù)（DDoS）類型的攻擊在區(qū)塊鏈領(lǐng)域日益猖獗。那么，女巫攻擊究竟會(huì)涉及到哪些方面，我們又該如何保護(hù)自己的數(shù)字資產(chǎn)呢？

什么是女巫攻擊?

作為一種在線安全威脅，女巫攻擊也被稱為身份或聲譽(yù)攻擊。它是由一個(gè)實(shí)體創(chuàng)建多個(gè)節(jié)點(diǎn)、帳戶或主機(jī)，意在接管某個(gè)特定的網(wǎng)絡(luò)。此類攻擊既可能像在社交媒體平臺(tái)上使用多個(gè)帳戶那樣簡(jiǎn)單，也可能像是入侵高安全性的網(wǎng)絡(luò)一樣危險(xiǎn)和復(fù)雜。

不過，它更容易被運(yùn)用于加密貨幣的場(chǎng)景中。也就是說，在區(qū)塊鏈中，攻擊者通過運(yùn)行多個(gè)節(jié)點(diǎn)，來達(dá)到某些非法的目的。目前，我們常見的有兩種類型的女巫攻擊：

• 當(dāng)誠實(shí)節(jié)點(diǎn)受到女巫節(jié)點(diǎn)的直接影響時(shí)，就會(huì)發(fā)生直接的女巫攻擊。
• 當(dāng)誠實(shí)節(jié)點(diǎn)在女巫節(jié)點(diǎn)的影響下，受到來自另一個(gè)誠實(shí)節(jié)點(diǎn)的攻擊時(shí)，則會(huì)發(fā)生間接的女巫攻擊。而那個(gè)被利用的誠實(shí)節(jié)點(diǎn)，實(shí)際上已淪為了發(fā)起攻擊的中間節(jié)點(diǎn)。

女巫攻擊會(huì)如何影響區(qū)塊鏈？

女巫攻擊會(huì)從如下常見方面對(duì)區(qū)塊鏈造成嚴(yán)重的破壞：

阻礙人們正常地訪問或使用網(wǎng)絡(luò)

一個(gè)完備的女巫攻擊總會(huì)通過生成足夠多的身份，使欺詐者能夠在投票中擊敗各個(gè)誠實(shí)的節(jié)點(diǎn)。這將會(huì)導(dǎo)致傳輸?shù)氖?、以及無法接收到正確的區(qū)塊。

執(zhí)行51%攻擊

完備的女巫攻擊可以為具有訪問和控制能力的攻擊者，提供超過半數(shù)（即51%）的總計(jì)算能力。這足以破壞區(qū)塊鏈系統(tǒng)的完整性，并導(dǎo)致潛在的網(wǎng)絡(luò)干擾。畢竟51%攻擊足以改變交易的順序，并通過逆轉(zhuǎn)交易的方式，去支持女巫攻擊者，進(jìn)而阻止交易的確認(rèn)。有時(shí)，這也被稱為雙花攻擊（Double Spending，詳見下文解釋）。

女巫攻擊是被如何部署的？

女巫攻擊可以通過多種方式被部署到區(qū)塊鏈的場(chǎng)景中，其中最常見的有如下兩種形式：

51%的攻擊

攻擊者通過控制至少51%的網(wǎng)絡(luò)計(jì)算能力（也稱為哈希率），實(shí)現(xiàn)阻止、逆轉(zhuǎn)或更改某些交易的順序，以至于產(chǎn)生導(dǎo)致“雙花”，甚至無法確認(rèn)那些合法的交易。此處的“雙花”是指：用戶通過復(fù)制數(shù)字貨幣，并將其副本發(fā)送給多個(gè)接收者，以實(shí)現(xiàn)多次花費(fèi)相同的資金?？梢?，如果不采取有效的措施防止這種行為，則可能最終導(dǎo)致數(shù)字貨幣系統(tǒng)的徹底崩潰。

在節(jié)點(diǎn)上實(shí)現(xiàn)“多數(shù)獲勝（Out-Voting）”

如果系統(tǒng)中有足夠多的假身份節(jié)點(diǎn)，那么它們就能以“多數(shù)獲勝”的方式擊敗合法節(jié)點(diǎn)（或稱為誠實(shí)節(jié)點(diǎn)）。就像日蝕攻擊（eclipse attack）那樣，如果女巫造成鏈網(wǎng)絡(luò)不再傳輸或接收區(qū)塊，那么就會(huì)直接導(dǎo)致其他誠實(shí)的用戶被阻止參與。

如何防范針對(duì)區(qū)塊鏈的女巫攻擊

許多區(qū)塊鏈都會(huì)使用共識(shí)算法（Consensus Algorithms）作為防御攻擊的一種形式。雖然該算法本身并不能從根本上防范攻擊，但是它會(huì)使得攻擊者的部署成本相當(dāng)高昂。下面是三種最常用的共識(shí)算法：

工作量證明（Proof of Work，PoW）

作為防止雙花攻擊的最古老、且最主要的算法機(jī)制，PoW旨在使用計(jì)算能力，對(duì)區(qū)塊中的數(shù)據(jù)進(jìn)行哈希處理，以檢查生成的哈希值是否符合某些給定的條件。如果滿足的話，您將獲得加密硬幣，以及開采新的區(qū)塊所產(chǎn)生的交易費(fèi)用。當(dāng)然，您需要為此類計(jì)算能力付出一定的代價(jià)（如：電力），其中包括多次部署失敗的哈希值的嘗試，這也就是所謂的“挖礦”的過程。

同時(shí)，請(qǐng)記住，用于維護(hù)挖礦節(jié)點(diǎn)網(wǎng)絡(luò)的硬件（如，被稱為ASIC的專用集成電路）往往是非常昂貴的。工作量證明于2008年被中本聰引入比特幣中，并且目前仍然是所有算法中最安全且最容錯(cuò)的。

權(quán)益證明（Proof of Stake，PoS）

您也許注意到了，PoW的問題在于：用戶必須通過大量計(jì)算，來證明他們的工作，進(jìn)而挖到區(qū)塊。而權(quán)益證明機(jī)制只需要您通過證明和使用自己所持有的代幣。由于它并不依靠計(jì)算能力，而是憑借用戶持有的代幣，因此解決PoW的最大問題——挖礦成本。自2011年被推出以來，PoS就被認(rèn)為是PoW最受青睞的替代方案之一?？偟恼f來，在區(qū)塊鏈領(lǐng)域，目前雖然仍以PoW為主（畢竟它被認(rèn)為最安全、最可靠），但是PoS已是最流行的區(qū)塊鏈網(wǎng)絡(luò)之一。

該機(jī)制系統(tǒng)使用權(quán)益年齡（Staking Age）、隨機(jī)化元素（Element of Randomization）和節(jié)點(diǎn)財(cái)富（Nodal Wealth）作為選擇驗(yàn)證者的因素。而驗(yàn)證者必須將一定數(shù)量的代幣資助到網(wǎng)絡(luò)中，才能鍛造區(qū)塊（注意：盡管可以互換使用，但是“挖礦，Mine”常被用在PoW中，而“鍛造，F(xiàn)orge”則是PoS的術(shù)語）。

在安全性方面，攻擊者需要為了獲取51%的代幣，而付出高昂的代價(jià)。例如，他們可能需要進(jìn)行多次失敗的嘗試。而這等同于巨大的付出（當(dāng)然，在低市值的區(qū)塊鏈中，可能并非如此）。可見，PoS提高了區(qū)塊鏈的安全性。

同時(shí)，它也提高了分散性和可擴(kuò)展性，即每秒交易數(shù)量的限制。目前，使用PoS的典型網(wǎng)絡(luò)包括：Avalanche、BNB Chain/Smart Chain、以及Solana。

委托權(quán)益證明（Delegated Proof of Stake，DPoS）

由Daniel Larimer于2014年推出的委托權(quán)益證明，是PoS的一種流行替代方案。由于它具有更好的可擴(kuò)展性，即每秒能夠處理更多的交易，因此DPoS被認(rèn)為是PoS的更高效的版本。

通過使用投票系統(tǒng)，DPoS允許用戶將他們的工作外包給各個(gè)代表（或證人），由他們代表自己維護(hù)網(wǎng)絡(luò)的安全。利益相關(guān)者可以根據(jù)每個(gè)用戶所擁有的代幣數(shù)量，去投票選擇代表。被選出來的代表負(fù)責(zé)確保在挖礦和驗(yàn)證新的區(qū)塊方面達(dá)成共識(shí)。當(dāng)有獎(jiǎng)勵(lì)產(chǎn)生時(shí)，代幣會(huì)在利益相關(guān)者和他們的代表之間按比例分成。

由于是基于民主投票系統(tǒng)，因此該算法有效地依賴了代表的聲譽(yù)，并發(fā)揮了積極的作用。如果他們的節(jié)點(diǎn)不能生效、或不道德地運(yùn)作，那么他們就會(huì)被驅(qū)逐出所在的網(wǎng)絡(luò)。目前，使用DPoS的典型網(wǎng)絡(luò)示例包括：??Ark???和??Lisk??。

小結(jié)

為了入侵系統(tǒng)，并導(dǎo)致網(wǎng)絡(luò)活動(dòng)的中斷，網(wǎng)絡(luò)攻擊者往往會(huì)以女巫攻擊的方式，創(chuàng)建虛假的身份，并使用這些身份來獲取訪問權(quán)限，進(jìn)而控制整個(gè)網(wǎng)絡(luò)。為了打擊數(shù)據(jù)盜竊和網(wǎng)絡(luò)系統(tǒng)的入侵，數(shù)字貨幣愛好者們需要參考上述建議，采用強(qiáng)大的數(shù)據(jù)安全保護(hù)措施。

原文標(biāo)題：??What Is a Sybil Attack and How Does It Affect Blockchain???，作者：OLUWADEMILADE AFOLABI