鏈上信譽的基礎設施：Web2沒有解決的女巫攻擊，Web3能嗎？

來源：北大區塊鏈研究/北京大學區塊鏈協會

導語

關於反女巫的討論，從最早的Uniswap到近期的Celestia空投幾乎隨處可見，在可預見的未來也將持續作為一個長期敘事存在，也許會被鏈上信譽相關的DIDs、DeFi、SocialFi、GameFi和其他敘事反復提及。然而，在Web3發展歷史上，不同文本語境所指代的反女巫(Anti Sybil)概念似乎有些模糊、比較零散、令人困惑。這篇文章嘗試將“反女巫”當做參照點，對其發展階段及生長出來的新敘事、應用場景及湧現的各類解決方案進行概述和梳理。希望本文的視角對關注前述相關議題的朋友也能有所啓示或幫助。

相較於一周一FOMO的熱點變化，在Web3，女巫攻擊（Sybil Attack）其實並不是多么新潮的概念；同時也非常新手友好，基本上是入圈1周左右的小白就有機會碰到、然後主動查詢資料去了解和掌握的術語。寫這篇研報有三方面的驅動因素：一是前段時間在看DIDs和社交圖譜賽道，覺得“站在當下看未來”的方式可能對一些項目共性、核心及差異的把握有點困難，但往前追溯一個歷史階段來觀察思考當前的敘事走向，反而會覺得更加清晰和有趣；二是相比之前幾輪的空投項目方，Celestia的反女巫規則顯然又升級了；三是不久前被一位朋友的靈魂拷問問倒了：“為什么Web2沒有解決的女巫問題，到Web3還沒解決？”

一、當我們談論女巫攻擊時，到底指的是什么？

1. 經典概念回顧

￮反女巫（Anti Sybil）、又叫獵巫、反女巫攻擊。女巫攻擊一般指的是一個真人控制多個虛假身份以便重復領取生態建設者所提供激勵收益的違規行為，是Web2“反作弊”、“反欺詐”概念在Web3的延伸和拓展。簡單來說就是一個人僞裝成若幹個用戶，瞞過項目方多次“薅羊毛”。更容易被我們察覺到的關聯現象是層出不窮的“擼毛工作室”。

￮據坊間流傳，女巫攻擊之所以叫女巫攻擊，是有一部女主角擁有十幾種人格的電影叫《女巫》，覺得用來代指一個人控制多個虛假身份非常形象。

￮Web2時代的女巫攻擊：滴滴曾經被司機跑空單騙過補貼、讓你看廣告賺傭金的視頻平臺其實在花着品牌方的廣告預算做虛假的用戶點擊數據、明星粉絲為了危機公關而控評的水軍，這些都是Web2時代的女巫攻擊。

2. 用戶需求還是反用戶需求？

•代入用戶或社區生態參與者視角，首先要想清楚的一個前提是：社區生態對反女巫的訴求是否真的足夠堅固？需要承認，在當前階段，反女巫並非用戶的直接需求，更多是應用場景項目方的需求。甚至可以說，羊毛黨們可能貢獻了早期大量的TVL。以空投場景為例，用戶其實有很強的動機成為女巫，只是在與項目方設置的獎懲規則鬥智鬥勇的過程中進行了利弊權衡，大多數具有女巫潛在風險的用戶最終退一步成為了空投獵人。

•對於項目方來說，未發放代幣給真實用戶有兩個不難想象的後果：營銷拉新成本翻倍&巨大的拋壓。

￮舉個例子：Aptos並未制定反女巫措施，空投消息一出，推特和社區中都有羊毛黨曬幾百個账戶去申請測試網的截圖，所以平均而言，項目方實際花費了幾十倍的單位成本來獲得一個真實的新用戶。二是，從幣安的交易走勢來看，Aptos社區並未能承接住巨大的拋壓，上线後一根針瞬間拉到 100 美元，隨後就直接回到 10 美元附近，然後又一路下跌到 6 美元左右。有研究發現，流入交易所的代幣中約有40%來自女巫地址。 所以，提前獲悉女巫地址比例對項目代幣價格波動的預測也很有幫助。

￮我們可以做一個簡單的博弈分析理解項目方的反女巫舉措對真實用戶可能產生的連帶影響：假設Alice是一個真實用戶，只有一個用於做交互的錢包地址；Bob是一個女巫，控制了N個虛假账戶，額外投入單位成本為F。空投前需要用戶做任務、刷積分、付gas費等時間、精力、金錢投入，設為X, 項目方設定的空投標准為Y，單個账戶的空投收益為Z，女巫攻擊淨收益簡記為N*（aZ-bX-cY-dF）。通常來說，項目方會選擇提高X、Y或降低Z來減少女巫攻擊的ROI。 不過，當項目方針對Bob的反女巫措施不夠精准或者過於嚴苛時，可能連帶着真實用戶Alice的空投收益（aZ-bX-cY）也大幅下降甚至是負值。 這也能解釋為什么有的空投收到了很多社區贊譽，有的卻導致了大量不滿。

￮ 目前“反女巫”和“薅羊毛”雙方博弈通常有兩種平衡狀態，有機會實現正和博弈而非通常認為的零和博弈：

▪ （1）默認輕微程度的擼毛行為。 即默許只使用1-3個精品錢包獲取空投的空投獵人。但是會嚴厲打擊女巫行為，即擁有上百個錢包，大多數使用腳本或指紋瀏覽器，偶爾手動操作的用戶。

▪ （2）共同締造“虛假”的繁榮。 一方面，從項目方的角度來說，擼毛行為是項目鏈上活躍數據的重要組成部分，並且可以在早期階段找出項目的各種 Bug，推進產品體驗上的優化，相當於幫着做了壓力測試，而絕大多數項目方也需要羊毛黨貢獻數據來提高估值或上线 CEX。從羊毛黨的立場來看，也可以在未來收到代幣空投，因此是雙贏局面。

二、我們距離成熟的反女巫解決方案，進度條推到哪了？

要充分理解這個問題，先要意識到反女巫其實有三層敘事結構。然後我們會發現早在空投和羊毛黨盛行之前，女巫攻擊的場景和解決方案就已經存在了，後來出現的一些新敘事和討論其實也是反女巫的延續。

1. 反女巫的三層敘事結構：應用場景層、協議共識層和驗證檢測層

反女巫相關的賽道主要分為應用場景、協議共識與識別檢測三層。應用場景層決定反女巫的價值目標，協議共識層決定反女巫的制度規則，驗證檢測層決定反女巫的技術效率。

1.1 應用場景層：女巫在哪出沒？

挖礦

這裏的「挖礦」取PoW共識機制下的狹義。

• 價值目標：維持成比例的驗證算力供給與主鏈控制權。 工作量證明（Proof of Work, PoW）共識機制下，掌握了多數算力的攻擊者可以在區塊鏈網絡中進行欺詐性操作。女巫的目標可能是發起51%攻擊來創建新主鏈，然後通過撤銷、逆轉或者不確認舊主鏈的交易記錄，在新主鏈上實現雙花（雙重支付）套利。

• 相關解決方案 ：通常是靠堆高區塊鏈網絡規模來做自然防御，女巫攻擊一般發生在小鏈，大鏈所需要消耗的算力、硬件資源太高，女巫攻擊的投入產出效益（ROI）十分低下，無利可圖自然會降低女巫攻擊的發生頻率和安全威脅。從這層意義上來說，頭部公鏈（例如BTC）自然已經比其他基於PoW的小鏈更具備低成本防御女巫攻擊的基礎優勢；其他相關概念：去中心化分布式算力。

投票

• 價值目標：維持成比例的質押率與投票權。 權益證明（Proof of Stake, PoS）共識機制下，女巫的表現形式是通過購买治理代幣來幹預投票。投票權或決策權通常與用戶持有的代幣數量相關，因此通過女巫攻擊獲得大量代幣的攻擊者可能不成比例地投票給某個不合理的提案，繼而操縱投票結果。這可能導致對特定提案的“賄賂效率”被人為地提高或降低，項目中的資源分配向某一特定群體的利益傾斜。 簡單來說，巨鯨通過購买大量的治理代幣，分別存入看上去毫無關聯的多個錢包中，就有機會獲得超過51%的投票權從而主導投票結果。

• 相關解決方案 ：首先，與PoW共識機制類似，女巫攻擊者不能僅通過注冊新錢包地址來發起攻擊，而是需要投入成本購买大量治理代幣，因此大鏈比小鏈更容易抵御低成本的女巫攻擊。其二，人格證明（PoP）共識機制可以解決這個問題。核心理念是確保每個參與者在網絡中只擁有一個身份或投票權。與傳統的區塊鏈共識機制如權益證明或工作證明不同，PoP着重於個人身份的獨一性，而不是基於經濟資源（如幣齡、代幣持有量或計算能力）的權重。

空投

• 價值目標：將代幣發放給真實的早期貢獻用戶，以維持成比例的新增用戶與營銷成本。 空投是項目方營銷拉新常用的用戶增長工具，是目前反女巫行動的主陣地。如前文所述，未發放代幣給真實用戶，對於項目方來說有兩個不難想象的後果：營銷拉新成本翻倍以及巨大的拋壓。

•主要存在兩種空投類型：（1）Push 空投：一般指代幣或 NFT 通過全額投放出現在用戶錢包；（2）Pull 空投：用戶主動領取獎勵，包括 Uniswap、ENS、1INCH 和 Cow Swap等等。Push 空投容易被用作詐騙手段，所以絕大多數項目方的空投採取Pull模式。

• 相關解決方案 ：聲譽評分或身份證明（Gitcoin Passport、DegenScore、Otterspace 、Trusta Labs）；生物信息驗證（​Humanode、Worldcoin）；KYC、SBT、Poap、Proof of human等DIDs方案。

捐贈

• 價值目標：維持成比例的公共物品評分和捐贈金額。 例如，公共物品的二次方籌款(Quadratic Funding)是一種平衡捐贈激勵以及去中心化之間矛盾的配捐機制，雖然二次方籌款降低了單筆大額捐贈對配捐匹配池中公共物品評分的影響，初步地提供了平衡捐贈激勵和去中心化之間矛盾的算法設計，但非常容易遭遇女巫攻擊。原因是， 相比於一個账戶，注冊多個账戶可以總量更少的資金投入影響配捐款的分配。 並且，即便項目審核、捐贈者認證和數據回溯會降低女巫攻擊的成功率，但仍然存在「女巫投毒」的可能性：

￮女巫投毒：攻擊者使用女巫账戶為競爭對手或排行榜前列的項目進行小額捐贈，以使該項目被數據分析團隊判定為「女巫」，從而讓該項目無法獲得配捐。這一方面打擊了競爭對手，另一方面被取消的配捐將回到匹配池，從而使攻擊者自己的項目獲得更多的配捐金額。一旦這樣的攻擊手法成立，女巫账戶針對項目的勒索行為也會出現。

• 相關解決方案 ：GitCoin Passport等聲譽評分或身份證明方案。

全民基本收入（UBI）

• 價值目標 ：將全民基本收入資金發放給組織中的真人成員，以維持成比例的組織成員福利領取和基金支出。全民基本收入（Universal Basic Income）又叫無條件基本收入（Unconditional Basic Income）。UBI並不是一個Web3原生議案，在挪威、美國、德國等歐美高福利國家，曾多次出現在有關國家治理與國民福利的議案中。通常是指沒有條件、沒有資格限制，不做資格審查、無需擁有工作，每個國民或社區成員皆可定期領取一定金額的貨幣。簡單來說，UBI就是面向組織成員發放的無差別低保。

• 解決方案 ：主要是基於生物信息識別技術的人格證明（Proof of Person, PoP）。例如，Worldcoin需要到线下站點進行Orb虹膜檢測才能領取補助金（Worldcoin Grant），也是出於防止一個真人控制多個账號以免重復投放Grant。Worldcoin聲稱只存儲虹膜信息不可逆的哈希值而非虹膜照片本身來鑑別用戶身份（World ID）的唯一性，從而克服傳統KYC的隱私安全問題。

• 相關解決方案 ：Worldcoin的虹膜驗證

小結

•雖然在不同應用場景的具體表現形式有所出入，但不難看出，反女巫的價值目標可歸結為“項目方價值目標的維護成本和組織成員的個人收益成比例”的一項網絡安全機制，它在表現層主要與阻止用戶大量申請虛假账戶相關。

•如果項目方在對抗女巫攻擊方面不能向社區成員提供可信承諾和技術證明，長期存在的女巫攻擊就會損害項目的安全性和公信力。老用戶和潛在新用戶可能會減少參與或完全避免投資該項目，從而可能爆發礦工流失、質押率下降、真實用戶數高估、捐贈激勵不足、全民基本收入濫發等一系列應用層的連鎖問題。

1.2 協議共識層：為什么有的反女巫收到了很多社區贊譽，有的卻導致了大量不滿？

雖然創建一個新的錢包地址不需要任何成本，看上去女巫攻擊很容易發生，但在協議共識層面上，已經存在了抵抗低成本女巫攻擊的某些特徵。例如PoW 機制要求每個節點為網絡貢獻算力以參與共識；PoS 機制則根據驗證者投入的代幣數量分配投票權。因此，用戶沒有辦法僅通過創建新地址來增加影響力。然而，基本的共識機制只是增加了女巫攻擊的成本，當女巫攻擊收益遠高於成本時，惡意行為者依然會選擇發起攻擊。 因此，有很多共識機制層面的創新，例如人格證明機制（PoP）、委托權益證明（Delegated Proof of Stake, DPoS）、權益授權證明（Proof of Authority, PoA）等 。 也有开發具有內在防女巫攻擊保護的分布式協議，如SumUp和DSybil等算法， 這裏不做具體展开 。

此外，項目方通過影響女巫攻擊ROI的規則措施也可能改變反女巫的效率。一般來說，不管在哪個應用場景，社區對反女巫舉措的評價通常與該項目的資金池規模、代幣分配公式和資格認定條件有關。

1.2.1 資金池規模

資金池規模，即項目可用於獎勵和激勵的資金量。因為資金池大小直接影響到每個參與者可能獲得的回報。資金池較大時，社區成員可能普遍更加樂觀，但與此同時被女巫攻擊的潛在風險更大。

例如，OP的二次空投資金池僅佔總代幣供應量的 0.27%，相比於第一次空投的5%來說杯水車薪。因為資金池較小引發了社區的廣泛爭議。

1.2.2 代幣分配公式

代幣分配公式決定了參與者如何獲得代幣獎勵。這包括如何計算每個參與者的貢獻，以及基於這些貢獻分配代幣的規則。透明、公平的分配公式通常會受到社區的好評，因為它們確保了每個人的努力都得到了公正的回報。然而，如果分配公式復雜、不透明或有針對傾向性，可能會導致社區成員之間的不滿和爭議。

例如，OP的第二次空投分配注重治理，與此同時兼顧不參與治理的活躍用戶。使用返還 GasFee 的方法使得不參與 Optimism 治理的“空投農民”在這次空投中無利可圖。大部分的用戶在這輪空投中都沒有獲得太好的利潤，這也是導致這一輪空投沒有產生財富效應的主要原因。大多數地址僅僅收到了小於50個$OP的空投激勵，只有少部分地址拿到了上百個 $OP的空投激勵。

1.2.3 資格認定條件

資格認定條件是確定誰有資格參與的標准。這些條件可能包括完成特定任務、與項目的多次互動，甚至是身份驗證過程（如KYC）。如果資格條件太嚴格或過於繁瑣，可能會阻止一些社區成員參與，從而導致不滿。另一方面，如果條件過於寬松，可能無法有效防止濫用，從而削弱反女巫措施的效果。

例如，為了獲得SEI的空投資格，用戶不僅需要多次交互，做完五大任務，還需要多次填表，領取還需要 KYC ，復雜的流程和存在隱私信息暴露風險的做法引發了社區不滿。

1.3 驗證檢測層：解決方案的技術路徑異同和優劣對比

通過協議共識層來降低女巫攻擊的投入產出比固然是一種“釜底抽薪”的好思路，但反女巫效果並不能保證“斬草除根”，而且項目方很難在這一層進行准確性的判定核驗。因此，我們還需要一些驗證檢測女巫账戶的激勵機制或技術方案，例如社區偵探、身份憑證&人格證明（PoP）以及鏈上行為活動分析。 值得注意的是，每一次識別出的歷史女巫地址名單也會被新的項目方繼承性採納。

1.3.1 社區偵探

•Safe、HOP、CONNEXT、Optimism鼓勵社區偵探進行女巫舉報，將抗女巫的責任轉移給整個社區。盡管初衷是好的，Report to earn也是一種很新穎的用戶激勵方式，但這種做法引發了社區爭議。例如，CONNEXT被報告的女巫账戶甚至威脅要對其他錢包進行投毒，一旦這可能會將社區的抗女巫努力付之一炬。

• 優點： 一般來說，社區偵探情報具有及時性、民間高手各顯神通。

• 缺點： 准確性欠佳、舉報成功率低、容易遺漏女巫账戶，或者引發女巫的報復式投毒。

1.3.2 身份憑證&人格證明（Proof of Personhood）

身份憑證&人格證明方向的解決方案有很多，通常涉及去中心化身份（DIDs）的若幹概念，例如靈魂綁定代幣（SBT）、可驗證證書（VC）和POAP（Proof of Attendance Protocol）等。

1. 靈魂綁定代幣（Soulbound Tokens, SBT）:

•SBT 是一種特殊類型的非同質化代幣（NFT），它代表個人身份、屬性或成就。與普通的 NFT 不同，SBT 不能被交易或轉讓，因為它們與持有者的“靈魂”（即個人身份）綁定。它們用於在數字世界中表達不可轉移的屬性，如教育資格、工作經歷或社區信譽。

• 優點:

￮個人化與不可轉移性：SBT 是與個人身份緊密綁定的，不能轉移或交易，這增加了其在代表個人身份和資質時的准確性。

￮靈活性與擴展性：可以根據需要創建各種類型的 SBT，用於不同的驗證目的。

• 缺點:

￮隱私問題：與個人緊密相關的 SBT 可能暴露過多個人信息。

￮撤銷與更改的困難：一旦發出，SBT 可能難以撤銷或修改，這在信息需要更新時可能成問題。

2. 可驗證憑證（Verifiable Credentials, VC）

•VCs 是一種數字證書，用於證明持有者的某些屬性或資格。這些證書可以由各種機構或個人發出，並可以用來驗證身份、資格、會員資格或其他任何可證實的信息。VCs 的關鍵特點是它們可以在去中心化的環境中使用，而無需依賴於單一的發行機構。

• 優點:

￮更好的隱私控制：VC 允許持有者選擇他們想要分享的信息，增強了隱私保護。

￮廣泛的適用性：VC 可以用於多種場景，從身份驗證到資格證明等。

￮易於管理和更新：與 SBT 相比，VC 更容易被更新或撤銷。

• 缺點:

￮中心化：VC 的可信賴程度高度依賴於發行方的聲譽和可靠性。

3. POAP（Proof of Attendance Protocol）

•POAP是一種數字收藏品系統，用於驗證個人參與或出席某個特定事件或活動的記錄。這一概念在加密貨幣和區塊鏈社區中越來越受歡迎，特別是作為對參與各類虛擬和現實世界活動的確認。

• 優點：

￮唯一性和不可篡改性：POAP作為基於區塊鏈的NFT，具有唯一性和不可篡改性。這有助於確保每個POAP代表一個真實的參與事件，降低了僞造或重復身份的可能性。

￮驗證參與度：POAP可以用作驗證用戶參與某項活動的憑證。這種方法在投票或其他需要驗證真實參與者的場景中特別有用。

￮增加攻擊成本：要成功執行女巫攻擊，攻擊者需要獲取大量POAP，這可能涉及實際參與多個事件或找到其他方法來獲取這些POAP。這增加了執行攻擊的成本和復雜性。

￮透明性和可追蹤性：由於POAP記錄在區塊鏈上，因此它們的發行和轉移是透明和可追蹤的，這有助於識別和防止惡意行為。

• 缺點：

￮成本高：在某些區塊鏈上，如ETH，創建和轉移NFT可能需要支付昂貴的交易費用。

其他身份憑證類解決方案：KYC、生物信息識別、OP的鏈上證明AttestationStation等等。

1.3.3 鏈上行為活動分析

AI-ML算法可以通過監測鏈上行為活動模式來抵抗女巫攻擊，然而這類技術對於女巫檢測的困難性源於真實女巫账戶的標籤缺失，從而無法通過構建一個合適的訓練集進行監督學習，並外推至測試集以檢查算法判定的准確性。例如，算法不僅可能會遺漏一部分女巫账戶，也可能會誤將一個真人账戶判別為女巫账戶，導致空投名單有偏，引發社區成員的不滿。因此，目前而言的反女巫AI-ML算法主要是基於鏈上數據做時間序列分析和圖挖掘，如分析批量轉移和交互、行為序列模式挖掘以及資產轉移圖，再通過人工核實的方式逐步積累真實的女巫標籤。

• 批量轉移和交互： 通過分析不同地址之間的交易行為來檢測女巫账戶。包括識別可能表明女巫行為的批量轉账和交互模式。

• 行為序列模式挖掘： 挖掘數據以找到可能表明女巫攻擊的連續行為模式。

• 資產轉移圖（ATG）： 使用資產轉移圖挖掘來分析實體間的資產流動，幫助識別潛在的女巫攻擊。

譬如，Celestia空投採用了Trusta Labs的反女巫方案，分兩階段的鏈上行為分析鎖定女巫账戶。

• 第 1 階段：ATG上的社區檢測。 使用 Louvain 和 K-Core 等社區檢測算法分析資產轉移圖 （ATG），以檢測密集連接和可疑的女巫群組。

￮ 星狀發散攻擊 ：群組內地址從相同源地址接收轉账；

￮ 星狀匯聚攻擊 ：群組內地址向相同目標地址發送資金；

￮ 樹狀攻擊 ：群組內的資金轉账關系形成樹狀拓撲；

￮ 鏈式攻擊 ：地址之間序列化轉账，形成一個鏈式結構；

• 第 2 階段：基於行為相似性的K-Means優化。 計算每個地址的用戶配置文件和活動。K-means 通過篩選不同的地址來優化聚類，以減少第 1 階段的誤報。

圖源：Trusta空投抗女巫框架介紹：一種基於AI和機器學習的可靠性方案

• 優點：

1.AI-ML 保護用戶隱私 。用戶不需要提供個人生物信息和他在Web2中的一系列身份認證。人格證明則要求身份確認，犧牲了用戶匿名性。

2.AI-ML全面分析大量的鏈上數據以減少脆弱性，讓方案更加 可靠 。而身份驗證是可以被以被利用和僞造的，這使得人格證明的方案容易收到攻擊。

3.AI-ML的方案本質上 無需任何人的許可 ，任何人都可以分析相同的公开數據。

4.由於AI-ML分析的透明性，女巫判別可以被公开以獲得 多方校驗 。

• 缺點：

1. 真實女巫標籤的缺失使得可採用的AI-ML算法在復雜度、准確性和召回率受限。 在2022年，沒有任何已經標記為女巫的基准數據集可用於訓練監督模型。在靜態的女巫/非女巫數據上進行訓練，模型的精確度和召回率可能是脆弱的。由於單一數據集不能涵蓋所有的女巫模式，召回率是有上限的。此外，被誤分類的用戶無法提供反饋，這阻礙了精度的進一步提升。

2. 大部分女巫的行為與普通用戶並沒有顯著差異、識別困難 ，目前來說最合適的檢測手段是聚類算法。隨着真實女巫標籤的積累確認，未來可以採取更成熟的深度學習算法框架來優化檢測手段。

2. 從反女巫延伸出了哪些新敘事？

雖然當下的反女巫敘事聽上去更像是由項目方的需求驅動，"反用戶"的特性使其在哲學價值層面的合理性存疑。但我們完全有理由相信它在未來的敘事上擴展出更堅固的生態價值。

2.1 DeFi：信用評分&信用評級

延伸敘事方向之一是DeFi與信用借貸。 此前，區塊鏈信用借貸幾乎是空白，因為缺乏一個鏈上信用評估體系，導致現在絕大部分的借貸只能使用超額抵押機制，勸退了大量不愿意超額借貸的資金流動性，可吸納的新增質押率空間還很大， 而信用評估體系的構建需要建立在排除大量虛假账戶的工作基礎之上。

•相關項目： Gitcoin Passport 、 TrustaGo的MEDIA分數 等

2.2 SocialFi ：社交圖譜

另一個生長出來的敘事方向是SocialFi與社交圖譜。 在基於社交圖譜和鏈上信譽的內容創作生態中（例如SocialFi和GameFi）。一旦社交影響力能被合理定價，女巫可能通過創建大量假账戶來操縱聲譽分數、評論或社交影響力來盈利， 這很類似於Web2社交媒體上刷評的水軍和機器人 。

•相關項目：基於智能合約的社交圖譜 Lens Protocol 和 CyberConnect 、基於網絡的社交圖譜 Farcaster 和 Deso 、社交交易協議 Friend.tech 和內容創作者經濟相關的 Bodhi 。

三、展望：“反女巫”和“薅羊毛”博弈的終局形態可能是什么？

• 應用場景的擴展：鏈上信用&社交圖譜

“ 反用戶”的項目方需求向用戶直接需求過渡。 雖然當下的反女巫敘事聽上去更像是由項目方的需求驅動，"反用戶"的特性使其在哲學價值層面的合理性存疑，但我們完全有理由相信它在未來的敘事上很可能擴展出更堅固的生態價值。 延伸敘事方向之一是DeFi與信用借貸。 此前，區塊鏈信用借貸幾乎是空白，因為我們缺乏一個鏈上信用評估體系，導致現在絕大部分的借貸只能使用超額抵押機制，而信用評估體系的構建需要建立在排除虛假账戶的工作基礎之上。 另一個生長出來的敘事方向是SocialFi與社交圖譜。 在基於社交圖譜和鏈上信譽的內容創作生態中 （例如SocialFi和GameFi） 。一旦社交影響力能被合理定價，女巫攻擊可能通過創建大量假账戶來操縱聲譽分數、評論或社交影響力來實現可觀的盈利，這很類似於Web2社交媒體上刷評的水軍和機器人。 因此，在DeFi、SocialFi和GameFi場景，我們都有可能看到從反女巫延伸出來的、用戶需求驅動的應用場景。

• 地址信用評分體系的多元化：集成多重檢測方案

集成多重檢測方案以權衡隱私性和准確性之間的關系。 通過綁定身份憑證或提供生物信息固然能更有效地區分真人和虛假账戶、可以借助許多較為成熟的Web2解決方案，但也伴隨着更高的用戶信息收集要求。反之，基於AI-ML算法的解決方案具有大規模檢測、可多方驗證、隱私保護等優勢，但也面臨無法事先或實時攔截的問題。因此，集成多重檢測方案是更優解。

• 用戶擁有一個主地址和多個副地址，通過錢包管理

需要權衡聲譽綁定和身份丟失之間的關系。 未來也許每個真實用戶都只有一個主地址能記憶、標識一個可持續積累信譽的身份（與DIDs的部分語義重合），並且用戶只能通過主地址接受空投等項目方所提供的激勵收益。但是，TA可以關聯多個細分場景的局部地址用於和應用項目交互，防範因主地址丟失或被盜所承擔的系統性風險。

結語

通過以上的梳理，我們已經基本可以回答本篇提出的一些疑問。首先，Web3的反女巫是Web2的反欺詐、反作弊的概念延伸，但是兼具一些Web3原生的特徵，例如在空投敘事大範圍推廣之後，女巫攻擊的收益激勵才有了顯著提升。因為具有“項目方-羊毛黨”之間博弈的鮮明特徵，獵巫行動的驗證檢測措施也從溫和迅速轉向了嚴厲和復雜，目前技術手段仍然在不斷升級。其次，雖然當下的反女巫敘事聽上去更像是由項目方的需求驅動，"反用戶"的特性使其在哲學價值層面的合理性存疑，但我們完全有理由相信它在Web3未來的敘事上很可能擴展出更堅固的生態價值，繼而完成用戶需求驅動的價值證明，例如DeFi的信用借貸、SocialFi和GameFi的社交圖譜等等。目前，反女巫的技術方案正在從萌芽期向成熟期過渡，終局形態可能是用戶擁有一個主地址和多個副地址，通過錢包管理；主地址與一個集成多重檢測方案的信用評分體系掛鉤，多個副地址用於垂直應用場景的交互和账號找回驗證。

最後，希望當讀者以後再看到一個項目講反女巫和鏈上信譽相關的敘事的時候，能清楚地知道他們所說的“女巫”具體是在試圖使用虛假身份對哪一個價值場景發起攻擊； 項目方是在提出一種新的協議共識從源頭降低女巫攻擊的ROI，還是在講攻擊發生前的准入憑證或身份標識，抑或是在講攻擊發生後的檢測工具和手段？ 當然，相關的項目很可能會做不止一層。 反女巫和薅羊毛的博弈也會一直持續，但很可能是一個正和博弈而非通常認為的零和博弈 。具體來說，一級投資邏輯大致是應用價值前景>驗證檢測技術>協議共識創新。

參考資料

[1] https://medium.com/ @trustalabs.ai/trustas-ai-and-machine-learning-framework-for-robust-sybil-resistance-in-airdrops-ba17059ec5b7

[2] https://passport.gitcoin.co/

[3] https://docs.lens.xyz/docs

[4] https://cyberconnect.me/