三萬部手機組成的越南機器人農場：如何從真實用戶手中偷走加密空投？

作者 | Felix Ng

編譯 | 吳說區塊鏈 Aki Chen

聲明：本文爲轉載內容，讀者可通過原文鏈接獲得更多信息。如作者對轉載形式有任何異議，請聯繫我們，我們將按照作者要求進行修改。轉載僅用於信息分享，不構成任何投資建議，不代表吳說觀點與立場。

原文鏈接：

https://cointelegraph.com/magazine/inside-30000-phone-crypto-airdrop-bot-farm/

全文如下：

在距離胡志明市僅 40 分鐘車程的一座帶冷藏系統的 “鐵皮棚” 裏，Mirai Labs 首席執行官 Corey Wilton 首次真正意識到加密空投被濫用的規模之巨大。“這真的令人毛骨悚然。”Wilton 在接受採訪時表示。此前他剛剛參觀了一處位於越南南部的 “手機農場”，據他估算，那間空間僅有一間單人公寓大小的房間裏，至少堆放着 30,000 部智能手機。

過去四年裏，Wilton 一直希望能親眼見識，那種在 2021 年瓦解了他主打的 NFT 賽馬遊戲 Pegaxy 的幕後運作模式。“當時 Pegaxy 爆火，我們的日活躍用戶數最高達到約 50 萬。”Wilton 回憶道，“那時候，我們開始不斷接到關於 ‘機器人農場’ 的舉報。”這些機器人可以同時操控上百個賬號，迅速搶購勝率較高的賽馬，並反覆參與比賽以贏取遊戲內貨幣，而這些代幣隨後可以在現實中變現。“你會看到有人發的截圖，屏幕上同時運行着十幾個、二十幾個應用程序，而且類似的畫面也在社交媒體上頻繁出現。” 他解釋說。

Pegaxy 是一款由系統自動運行、十五匹馬同場競技的賽馬遊戲。Wilton 表示，機器人農場讓這款遊戲從 “誰能贏” 變成了 “誰能更快地提取價值” — — 遊戲氛圍由此發生轉變，也加速了項目的衰落。

親臨現場：揭祕越南 “專業級” 手機農場

今年 5 月，Wilton 終於如願，在一位前 Pegaxy 玩家協助下，得以獨家參觀越南一家 “高度專業化的手機農場”。這位玩家是在 TikTok 上偶然發現了這處農場的蹤跡。

（Corey Wilton）

“我去了兩個地方，都離我所在的位置大約 40 分鐘車程，算是比較偏遠的區域。” 他回憶道，“那裏絕對不會有外國人前往，而且他們也完全不希望被人知道。”Wilton 描述其中一處地點是一座緊鄰街道的鐵皮棚，內部空調開到了 “能有多冷就多冷” 的程度。

鐵皮棚內部擺滿了金屬架，每個架子上密密麻麻地放着上千部智能手機，只留下狹窄的通道供員工通行。整個佈局看起來就像是一家 “山寨” 加密礦場。

Wilton 表示，對方向他展示了該業務中的 “租賃環節”，客戶可以根據自身需要租用這家手機農場，用於任何目的。與傳統的機器人服務器不同，手機農場中的每部設備都配有獨立的 SIM 卡和設備指紋，還可以僞裝 IP 地理位置，使其更難被偵測，特別適用於要求每個賬號綁定手機號的系統場景。此外，手機在計算能力與成本之間具備較高性價比，且其中某一臺設備即便損壞，也能被快速替換，不會對整體運作造成實質影響。

Wilton 表示，在他親眼看到的案例中，一名操作員會通過電腦控制一部 “主控手機”，這部主控設備又連接着 500 多部 “從屬手機”。無論主控手機上執行什麼操作，所有從屬設備都會同步複製。“他們的客戶其實大多來自 Web2 行業。比如有 K-pop 經紀公司租用這些設備來刷流量；也有賭場用它來模擬真人玩家，讓對局顯得更 ‘真實’，但其實是用來壓制你，引導你輸錢。”

“還有一些 Web2 玩家批量刷手機遊戲，通過養號再出售這些已升級的賬號。” 他補充道。不過，Wilton 表示，這家農場的核心業務其實是 “製造”。

該操作員會以低價收購損壞或廢舊的智能手機，然後通過軟件和其他手段進行改裝，最終打包成 “自助式手機農場” 設備，銷往海外市場。該項目每週可生產超過 1,000 部可直接用於部署的農場手機，每個 “手機農場套裝” 大約包含 20 部設備。Wilton 表示這些人並不親自操作手機。他們不會自己去薅空投或者執行相關操作。他們的主要業務，其實是打包銷售這些設備，併發往海外那些想在家操作的人手中。接下來你只需要讓這些設備保持在線，再買更多手機接入就行了。”

Wilton 表示感嘆道難怪 “機器人輔助的加密空投薅羊毛” 已經成爲加密行業的一大頑疾。所謂加密空投薅羊毛，指的是通過製造大量錢包地址、僞造用戶行爲等方式，來獲取本應獎勵給真實早期用戶的免費代幣。儘管大多數加密空投並不要求手機號碼驗證，但通過唯一的設備指紋和 IP 地址，依然可以繞過抗女巫攻擊機制（Sybil protection）。

這類 “薅空投” 的做法往往導致農場用戶在領取代幣後立即拋售，衝擊市場價格，同時也使得真正的真實用戶更難獲得空投。許多項目在空投前會出現大量虛假活躍行爲，而一旦空投發放完成，用戶數量和代幣價格往往迅速下跌。

加密空投爭議頻發，機器人行爲遭到廣泛指責

無論是通過大批手機操控，還是用單臺電腦控制，機器人行爲都對加密空投活動造成了極大破壞。去年 6 月，以太坊零知識（ZK）Layer2 擴容項目 ZKsync 因空投遭遇大量機器人攻擊而飽受詬病，用戶紛紛指責其爲 “機器人薅羊毛” 大開方便之門。

鏈上數據分析平臺 Lookonchain 發佈消息稱，一名 “空投獵人” 通過 85 個錢包地址領取了超過 300 萬枚 ZKsync (ZK) 代幣，當時總價值高達 75.3 萬美元。另一名用戶則在社交平臺上公開炫耀，稱自己通過 “極其高效的 $ZK 女巫攻擊策略” 獲利近 80 萬美元。

所謂 “女巫攻擊”（Sybil attack），是一種安全威脅行爲，攻擊者通過製造多個虛假身份，試圖在網絡系統中謀取不正當優勢。該術語來源於一本名爲(Sybil)的書，書中描寫了一位患有多重人格障礙的女性案例。ZKsync 的競爭對手 Polygon 的安全主管 Mudit Gupta 將其稱爲 “可能是史上最容易被薅、也最被薅過頭的空投”，並將問題歸咎於防機器人機制的缺失。儘管 ZKsync 此次設置了七項資格篩選標準，旨在防範女巫攻擊。

ZKsync 在其官方 FAQ 中迴應稱，當前的女巫攻擊策略日益複雜，已經很難與真實用戶區分開來；而如果採取過於嚴格的篩選標準，雖然能攔下一部分女巫攻擊者，但也可能會誤傷大量真實用戶。

不過就在上個月，Binance（幣安）在整頓其 “Binance Alpha Points” 計劃中的機器人行爲時，給出了不同的觀點。“傳統的機器人通常遵循可預測、重複的行爲模式，因此相對容易被識別，”Binance 一位發言人在接受採訪時表示。“但隨着 AI 驅動型機器人的興起，我們現在面對的是一套更接近人類行爲的系統 — — 從瀏覽習慣到交互時間，都能高度模擬真人，使得識別難度大大增加。”Binance 表示，平臺正在不斷加大反機器人力度，開發新型工具，從大規模行爲模式中識別異常操作。比如地址實體關聯分析，它可以幫助識別由同一行爲體控制的錢包集羣，即便這些錢包在表面上看似彼此獨立。

這些分析對於揭示僞裝持倉、多地址批量轉賬操控（multisend manipulation）以及刷量交易（wash trading）等行爲尤爲關鍵 — — 這些正是 AI 驅動型機器人常用的手法，用於僞造真實參與度和虛假流動性。而遭殃的不止是加密空投，機器人也被指責大量涌入市場，製造出無數毫無價值的 Meme 幣。Coinbase 產品負責人 Conor Grogan 最近在 X 平臺發文指出：“目前在 PumpFun 和 LetsBonk 平臺上線的大多數代幣，背後幾乎都是由機器人操控。” 他發現，在 Meme 幣平臺 LetsBonk 上，頭部賬號平均每 3 分鐘就發佈一個新代幣。

a16z Crypto 的數據科學家兼合夥人 Daren Matsuoka 認爲，女巫攻擊（Sybil attack）其實是近年來才顯現出來的問題。“在加密貨幣的大部分發展歷程中，我們其實天然就具備一定的抗女巫能力 — — 因爲在這些 Layer1 區塊鏈上，Gas 費用一直都很高。” 他在今年 4 月的一期 a16z Crypto 播客中表示。

“過去你爲了獲得空投資格，確實需要支付幾美元甚至幾十美元的交易成本。但隨着基礎設施的不斷優化，現在操作的成本已經變得非常低。我認爲，這將徹底改變攻擊和防禦機制的博弈格局。”a16z Crypto 的首席技術官 Eddy Lazzarin 則一直在強調構建 “人類證明”（proof of human）機制的重要性。

“AI 現在已經可以生成大量逼真的行爲記錄。最先進的機器人農場如今已經幾乎無法被可靠識別，而且用不了多久，那些技術中等的農場也將變得同樣難以察覺。”Lazzarin 在今年 5 月的一篇文章中寫道。Lazzarin 最感興趣的，是構建一種 “人格證明”（proof of personhood）機制：它應當讓真實人類可以輕鬆且免費地驗證自身身份，而讓機器人或欺詐者在大規模作假時付出高昂成本與操作難度。他提到，Sam Altman 發起的虹膜掃描項目 World 就是這類機制的典型代表。該項目的核心理念是，每個人只能註冊一次 World ID，其唯一性通過虹膜掃描來驗證（因爲每個人的虹膜都是獨一無二的）。

Lazzarin 在空投主題播客中補充道：“我非常希望看到更多人嘗試類似 World ID 的系統，它結合了生物識別技術與隱私保護機制，用以限制每人只能擁有一個身份 ID。”

不過，以太坊聯合創始人 Vitalik Buterin 認爲，“一人一 ID” 並非完美解決方案，因爲這意味着所有歷史行爲可能都被綁定到一個攻擊點 — — 即該身份所對應的密鑰。一旦泄露，風險極大。同時，他指出，生物識別和政府身份信息本身也可能被僞造。

爲何不直接取消加密空投？

如果加密空投如此容易被操控，那最直接的選擇似乎就是乾脆取消空投機制。不過，也有觀點認爲，空投仍有其存在的意義。將代幣空投給真實參與協議的用戶，不僅有助於實現項目治理的去中心化，也能通過賦予投票權等方式分散控制權。此外，空投往往還能製造大量話題熱度。“很顯然的一個理由是：當你發放大量可能具有價值的代幣時，就會吸引大量關注，這本身就具有營銷效果。”Lazzarin 表示。“空投本質上就是一種營銷工具。”

Wilton 也表示認同並指出，項目方應該預設一部分用戶會出售代幣，而這其實就是獲取用戶所需承擔的營銷成本，關鍵在於確保這些用戶是真實的人，並且 “願意長期留下來”。與此同時，Binance 則認爲，自動化機器人本身並非完全有害。事實上，在某些場景下，如果使用得當且透明，機器人反而可以發揮積極作用 — — 例如用於提供流動性、代表用戶執行策略，或在審計期間進行壓力測試模擬。