Расширенный анализ аэродропа Arbitrum
Больше переводов статей вы найдёте по ссылке @crypt0_az
Эта статья опубликована совместно X-explore и WuBlockchain.
Команда Arbitrum наконец объявила долгожданную новость о предстоящем аэродропе. В дополнение к этому они опубликовали свои правила по проверке адресов Sybil.
https://github.com/ArbitrumFoundation/sybil-detection
По данным правилам можно заключить, что команда проекта:
- не учитывала кросс-чейн мосты, централизованные биржи и смарт-контракты при выявлении атак Sybil;
- сравнительно лояльная проверка применялась к небольшим и мультиаккаунтам;
- для выявления атак Sybil использовались данные исключительно до снапшота за 6 февраля 2023 года;
- для выявления атак Sybil использовались данные исключительно из Arbitrum и Ethereum, при этом данные других сетей L2 Ethereum таких как Optimism и Polygon команда проигнорировала.
Мы выяснили, что в вышеуказанных правилах по выявлению атак Sybil могут быть серьезные недочеты. После длительного противостояния между Sybil и командой проекта, часто и активно используются биржи для внесения средств и обеспечения Sybil, а это приведет к тому, что эти Sybil получат аэродроп Arbitrum.
Благодаря нашей внутренней модели по распознаванию адресов мультиаккаунтов/Sybil нам удалось обнаружить 279 328 адресов мультиаккаунтов и 148 595 адресов Sybil, получивших аэродроп.
Адрес мультиаккаунта – адрес, который находится под контролем одного лица. Мы применили алгоритм обнаружения сообществ Лувена к подграфу, состоящему из всех 624 136 EOA-адресов, получивших аэродроп (кстати, также было 1007 адресов контрактов, получивших аэродроп, которые мы раскроем позднее). По результатам видно,что существует в общей сложности 279 328 адресов из более чем 60 000 сообществ. Поскольку на личные адреса в одном и том же сообществе часто переводятся денежные средства, они считаются мультиаккаунтами. На их долю приходится примерно 557 миллионов токенов, или 47,96% от общего количества разосланных Arbitrum токенов.
Ниже приведено распределение размера адресной группы для мультиаккаунта и соответствующего количества адресов. На следующей картинке можно увидеть, что большое количество небольших мультиаккаунтов сообществ получили токены Arbitrum в результате аэродропа.
Ниже представлено распределение размера адресной группы для мультиаккаунта и соответствующего токена, на который можно претендовать (единица измерения –токен)
Далее мы изучили адреса мультиаккаунтов и установили строгие критерии отбора для выявления Sybil среди них. Всего 148 595 адресов Sybil, которые получили аэродроп. На их долю приходится примерно 253 миллиона токенов Arbitrum, или 21,8% от общего количества разосланных токенов. В состав адресов Sybil входит две части:
- сообщества с большим количеством мультиаккаунтов;
- адреса Sybil с высокой степенью достоверности, идентифицированные X-explore в Ethereum и других цепочках Ethereum layer 2 (Arbitrum, Optimistism и т.д.).
Sybil используют кросс-чейн мосты, централизованные биржи и смарт-контракты, чтобы предотвратить прямые соединения между большим количеством адресов и сделать каждый адрес максимально независимым, чтобы избежать обнаружения, таким образом Sybil и остаются незамеченными. В процессе поиска Sybil в сети Arbitrum, команда проекта также удалила адреса мостов, бирж и смарт-контрактов. Согласно нашему анализу, некоторые Sybil успешно преодолели правила обнаружения, и большое количество адресов получили этот аэродроп.
Примеры атак Sybil на CEX с более чем 250 адресами.
- В период с 24 по 28 августа 2022 года в общей сложности 2997 адресов, получивших аэродроп, вывели средства с биржи Binance (0xb38e8c17e38363af6ebdcb3dae12e0243582891d). Суммы вывода были постоянными и составляли от 0,00114 до 0,00116 ETH (около 2 долларов США). Эти адреса получили всего 1,83 миллиона токенов результате аэродропа.
- В период с 3 по 4 июня 2022 года в общей сложности 1001 адрес, получивший аэродроп, вывел средства с биржи FTX (0xa60113f7d43130919802b0863abdcdb956664fd5). Суммы вывода были постоянными и составляли от 0,0022 до 0,0023 ETH (около 4 долларов США). Всего эти адреса получили 1,04 миллиона токенов результате аэродропа.
- В период с 27 по 30 ноября 2022 года в общей сложности 645 адресов, получивших аэродроп, вывели средства с биржи Binance (0xb38e8c17e38363af6ebdcb3dae12e0243582891d). Сумма вывода была постоянной и составляла 0,05 ETH (около 9 долларов США). Эти адреса получили в общей сложности 700 000 токенов в результате аэродропа.
- В период с 29 октября по 01 ноября 2022 года в общей сложности 1035 адресов, получивших аэродроп, вывели средства с биржи Binance (0xb38e8c17e38363af6ebdcb3dae12e0243582891d). Сумма вывода была постоянной и составляла 0,003ETH (около 5 долларов США). Всего эти адреса получили в 980 000 токенов в результате аэродропа.
- 6 февраля 2023 года 294 адреса, получившие аэродроп, вывели средства с биржи Binance (0xb38e8c17e38363af6ebdcb3dae12e0243582891d). Сумма вывода была постоянной и составляла 0,0008 ETH (около 1,5 долларов США). Всего эти адреса получили 291 000 токенов в результате аэродропа.
- 12 декабря 2022 года 273 адреса, получившие аэродроп, вывели средства с биржи Binance (0xb38e8c17e38363af6ebdcb3dae12e0243582891d). Сумма вывода была постоянной и составляла 0,0095 ETH (около 17 долларов США). Всего эти адреса получили 242 000 токенов в результате аэродропа.
- 19 августа 2022 года 261 адрес, получивший аэродроп, вывел средства с биржи FTX (0xa60113f7d43130919802b0863abdcdb956664fd5). И сумма выведенных средств постоянна и составила 0,003 ETH (около 5 долларов США). Всего эти адреса получили 189 000 токенов.
Потом мы удалили адреса Sybil, которые вывели средства с бирж (FTX). В дополнение к постоянному объему средств, у них также есть постоянные вызовы смарт-контрактов.
Примечание. Ноды на картинке представляют собой адреса, а ребра – взаимодействия между адресами.
Кейс 2: атаки Sybil посредством моста
Примеры атаки Sybil посредством моста
- В период с 02 по 07 ноября 2022 года в общей сложности 1114 адресов, получивших аэродроп, перешли в Arbitrum с помощью моста HOP (0x33ceb27b39d2bb7d2e61f7564d3df29344020417). Суммы депозита были постоянными и составляли от 0,0025 до 0,0025 ETH (около 4 долларов США). Эти адреса получили в общей сложности 1,08 миллионов токенов.
Кейс 3: атаки Sybil посредством смарт- контракта
Примеры атак Sybil посредством смарт-контракта
- Адрес 0x922008a118feff7fb017ee67eb3b02371e559999 внес средства на 1 274 адреса для аэродропа с помощью контракта Disperse (0x692b5a7ecccad243a07535e8c24b0e7433238c6a). Сумма депозита была постоянной и составляла 0.005 ETH (около 8 долларов США). Данные адреса в сумме получили 1, 059 миллионов токенов.
Аналогичным образом, количество адресов Sybil, которые препятствуют их прямому подключению через контракт Disperse (определяется как единый адрес, по которому средства переводятся на 50 различных адресов аэродропа), составило 9 483. Всего эти адреса получили 10,98 миллионов токенов.
Кейс 4: Sybil собирает средства после снапшота
Мы подобрали показательный пример Sybil этого типа. В данном случае Sybil видно, что в общей сложности 198 адресов заработали 174 375 токенов. Несмотря на то, что данные адреса демонстрируют очевидное мошенническое поведение, их не исключили из аэродропа, поскольку их поведение проявилось уже после снапшота. Поэтому мы призываем команду Arbitrum провести заключительную проверку на Sybil перед аэродропом.
(Адреса Sybil на этом рисунке были выбраны для примера)
Кейс 5: атаки Sybil в другой цепи (Optimism)
Мы подобрали пример, который является показательным для такого рода Sybil. Атака из примера включает в себя 202 адреса и, атакующий заработал 204 205 токенов. Эти адреса также имеют очень похожие записи о транзакциях в цепи Arbitrum, но суммы и время транзакций немного отличаются, поэтому они не были идентифицированы как Sybil. Однако у них также есть идентичные записи транзакций в цепи OP (Optimism). Стоит отметить, что команда X-explore может не только идентифицировать адреса Sybil в Arbitrum, но также поддерживает Ethereum, Optimism и другие цепи Ethereum layer 2.
Далее, рассматривая эти результаты Sybil, мы обнаружим, что некоторые проекты (Synapse, Balancer и т.д.) подвергаются атакам этих Sybil. Если участник проекта не будет отфильтровывать Sybil при раздаче токенов в будущем, эти Sybil снова станут обладателями большого куша.
(Адреса Sybil на этом рисунке были выбраны для примера)
Мы можем сделать вывод, что правила, установленные Arbitrum, не были эффективными для предотвращения следующих четырех типов Sybil:
- атаки Sybil, в которой менее 20 адресов;
- Sybil, которые депонируют и выводят средства с помощью бирж, кросс-чейн мостов, смарт-контрактов;
- Sybil с очевидным мошенническим поведением при сборе NFT или средств после снапшота;
- Sybil с очевидным поведением пакетных операций в других цепях, таких как Optimism, Ethereum.
Смарт-контракты получают аэродроп:
Когда мы исследовали Sybil, мы также нашли несколько интересных примеров. Получателями этого аэродропа от Arbitrum стали не только EOA, но и некоторые контрактные адреса, которые также получили аэродроп. В общей сложности 1 007 контрактных адресов получили аэродропы, а общее количество полученных токенов Arbi составило около 1 миллиона.
- 0x8c44c0ab9a15bacad7a4b663a89593c406c6b4ea
- 0x44e4c3668552033419520be229cd9df0c35c4417
- 0x6e87672e547d40285c8fdce1139de4bc7cbf2127
- 0x8585a10f59fd4dd6e7d5e19254d5a791dc25f3f4
Поиск Sybil-аккаунтов всегда был щекотливой темой для команд проектов. Участникам проекта нужна атака Sybil, чтобы поддерживать популярность проекта, но, с другой стороны, они должны нести риск получения прибыли Sybil и риск демпинга на рынке после того, как атакующий Sybil обналичит деньги. По оценкам X-explore, в аэродроп включено около 150 тысяч адресов Sybil и не менее 4000 сообществ Sybil, а общая прибыль от адресов Sybil составляет более 253 миллионов токенов.
После нескольких раундов проверки мы получили очень надежный список адресов Sybil. Команда Arbitrum, пожалуйста,свяжитесь с нами по этому поводу.
Ссылка на статью: https://mirror.xyz/x-explore.eth/AFroG11e24I6S1oDvTitNdQSDh8lN5bz9VZAink8lZ4