作者 :Felix Ng
編譯 :吳說區塊鏈 Aki Chen
在距離胡志明市僅 40 分鐘車程的一座帶冷藏系統的 “鐵皮棚” 裏,Mirai Labs 首席執行官 Corey Wilton 首次真正意識到加密空投被濫用的規模之巨大。“這真的令人毛骨悚然。”Wilton 在接受採訪時表示。此前他剛剛參觀了一處位於越南南部的 “手機農場”,據他估算,那間空間僅有一間單人公寓大小的房間裏,至少堆放着 30,000 部智能手機。
過去四年裏,Wilton 一直希望能親眼見識,那種在 2021 年瓦解了他主打的 NFT 賽馬遊戲 Pegaxy 的幕後運作模式。“當時 Pegaxy 爆火,我們的日活躍用戶數最高達到約 50 萬。”Wilton 回憶道,“那時候,我們開始不斷接到關於 ‘機器人農場’ 的舉報。”這些機器人可以同時操控上百個賬號,迅速搶購勝率較高的賽馬,並反覆參與比賽以贏取遊戲內貨幣,而這些代幣隨後可以在現實中變現。“你會看到有人發的截圖,屏幕上同時運行着十幾個、二十幾個應用程序,而且類似的畫面也在社交媒體上頻繁出現。” 他解釋說。
Pegaxy 是一款由系統自動運行、十五匹馬同場競技的賽馬遊戲。Wilton 表示,機器人農場讓這款遊戲從 “誰能贏” 變成了 “誰能更快地提取價值” — — 遊戲氛圍由此發生轉變,也加速了項目的衰落。
親臨現場:揭祕越南 “專業級” 手機農場
今年 5 月,Wilton 終於如願,在一位前 Pegaxy 玩家協助下,得以獨家參觀越南一家 “高度專業化的手機農場”。這位玩家是在 TikTok 上偶然發現了這處農場的蹤跡。
(Corey Wilton)
“我去了兩個地方,都離我所在的位置大約 40 分鐘車程,算是比較偏遠的區域。” 他回憶道,“那裏絕對不會有外國人前往,而且他們也完全不希望被人知道。”Wilton 描述其中一處地點是一座緊鄰街道的鐵皮棚,內部空調開到了 “能有多冷就多冷” 的程度。
鐵皮棚內部擺滿了金屬架,每個架子上密密麻麻地放着上千部智能手機,只留下狹窄的通道供員工通行。整個佈局看起來就像是一家 “山寨” 加密礦場。
Wilton 表示,對方向他展示了該業務中的 “租賃環節”,客戶可以根據自身需要租用這家手機農場,用於任何目的。與傳統的機器人服務器不同,手機農場中的每部設備都配有獨立的 SIM 卡和設備指紋,還可以僞裝 IP 地理位置,使其更難被偵測,特別適用於要求每個賬號綁定手機號的系統場景。此外,手機在計算能力與成本之間具備較高性價比,且其中某一臺設備即便損壞,也能被快速替換,不會對整體運作造成實質影響。
Wilton 表示,在他親眼看到的案例中,一名操作員會通過電腦控制一部 “主控手機”,這部主控設備又連接着 500 多部 “從屬手機”。無論主控手機上執行什麼操作,所有從屬設備都會同步複製。“他們的客戶其實大多來自 Web2 行業。比如有 K-pop 經紀公司租用這些設備來刷流量;也有賭場用它來模擬真人玩家,讓對局顯得更 ‘真實’,但其實是用來壓制你,引導你輸錢。”
“還有一些 Web2 玩家批量刷手機遊戲,通過養號再出售這些已升級的賬號。” 他補充道。不過,Wilton 表示,這家農場的核心業務其實是 “製造”。
該操作員會以低價收購損壞或廢舊的智能手機,然後通過軟件和其他手段進行改裝,最終打包成 “自助式手機農場” 設備,銷往海外市場。該項目每週可生產超過 1,000 部可直接用於部署的農場手機,每個 “手機農場套裝” 大約包含 20 部設備。Wilton 表示這些人並不親自操作手機。他們不會自己去薅空投或者執行相關操作。他們的主要業務,其實是打包銷售這些設備,併發往海外那些想在家操作的人手中。接下來你只需要讓這些設備保持在線,再買更多手機接入就行了。”
Wilton 表示感嘆道難怪 “機器人輔助的加密空投薅羊毛” 已經成爲加密行業的一大頑疾。所謂加密空投薅羊毛,指的是通過製造大量錢包地址、僞造用戶行爲等方式,來獲取本應獎勵給真實早期用戶的免費代幣。儘管大多數加密空投並不要求手機號碼驗證,但通過唯一的設備指紋和 IP 地址,依然可以繞過抗女巫攻擊機制(Sybil protection)。
這類 “薅空投” 的做法往往導致農場用戶在領取代幣後立即拋售,衝擊市場價格,同時也使得真正的真實用戶更難獲得空投。許多項目在空投前會出現大量虛假活躍行爲,而一旦空投發放完成,用戶數量和代幣價格往往迅速下跌。
加密空投爭議頻發,機器人行爲遭到廣泛指責
無論是通過大批手機操控,還是用單臺電腦控制,機器人行爲都對加密空投活動造成了極大破壞。去年 6 月,以太坊零知識(ZK)Layer2 擴容項目 ZKsync 因空投遭遇大量機器人攻擊而飽受詬病,用戶紛紛指責其爲 “機器人薅羊毛” 大開方便之門。
鏈上數據分析平臺 Lookonchain 發佈消息稱,一名 “空投獵人” 通過 85 個錢包地址領取了超過 300 萬枚 ZKsync (ZK) 代幣,當時總價值高達 75.3 萬美元。另一名用戶則在社交平臺上公開炫耀,稱自己通過 “極其高效的 $ZK 女巫攻擊策略” 獲利近 80 萬美元。
所謂 “女巫攻擊”(Sybil attack),是一種安全威脅行爲,攻擊者通過製造多個虛假身份,試圖在網絡系統中謀取不正當優勢。該術語來源於一本名爲(Sybil)的書,書中描寫了一位患有多重人格障礙的女性案例。ZKsync 的競爭對手 Polygon 的安全主管 Mudit Gupta 將其稱爲 “可能是史上最容易被薅、也最被薅過頭的空投”,並將問題歸咎於防機器人機制的缺失。儘管 ZKsync 此次設置了七項資格篩選標準,旨在防範女巫攻擊。
ZKsync 在其官方 FAQ 中迴應稱,當前的女巫攻擊策略日益複雜,已經很難與真實用戶區分開來;而如果採取過於嚴格的篩選標準,雖然能攔下一部分女巫攻擊者,但也可能會誤傷大量真實用戶。
不過就在上個月,Binance(幣安)在整頓其 “Binance Alpha Points” 計劃中的機器人行爲時,給出了不同的觀點。“傳統的機器人通常遵循可預測、重複的行爲模式,因此相對容易被識別,”Binance 一位發言人在接受採訪時表示。“但隨着 AI 驅動型機器人的興起,我們現在面對的是一套更接近人類行爲的系統 — — 從瀏覽習慣到交互時間,都能高度模擬真人,使得識別難度大大增加。”Binance 表示,平臺正在不斷加大反機器人力度,開發新型工具,從大規模行爲模式中識別異常操作。比如地址實體關聯分析,它可以幫助識別由同一行爲體控制的錢包集羣,即便這些錢包在表面上看似彼此獨立。
這些分析對於揭示僞裝持倉、多地址批量轉賬操控(multisend manipulation)以及刷量交易(wash trading)等行爲尤爲關鍵 — — 這些正是 AI 驅動型機器人常用的手法,用於僞造真實參與度和虛假流動性。而遭殃的不止是加密空投,機器人也被指責大量涌入市場,製造出無數毫無價值的 Meme 幣。Coinbase 產品負責人 Conor Grogan 最近在 X 平臺發文指出:“目前在 PumpFun 和 LetsBonk 平臺上線的大多數代幣,背後幾乎都是由機器人操控。” 他發現,在 Meme 幣平臺 LetsBonk 上,頭部賬號平均每 3 分鐘就發佈一個新代幣。
a16z Crypto 的數據科學家兼合夥人 Daren Matsuoka 認爲,女巫攻擊(Sybil attack)其實是近年來才顯現出來的問題。“在加密貨幣的大部分發展歷程中,我們其實天然就具備一定的抗女巫能力 — — 因爲在這些 Layer1 區塊鏈上,Gas 費用一直都很高。” 他在今年 4 月的一期 a16z Crypto 播客中表示。
“過去你爲了獲得空投資格,確實需要支付幾美元甚至幾十美元的交易成本。但隨着基礎設施的不斷優化,現在操作的成本已經變得非常低。我認爲,這將徹底改變攻擊和防禦機制的博弈格局。”a16z Crypto 的首席技術官 Eddy Lazzarin 則一直在強調構建 “人類證明”(proof of human)機制的重要性。
“AI 現在已經可以生成大量逼真的行爲記錄。最先進的機器人農場如今已經幾乎無法被可靠識別,而且用不了多久,那些技術中等的農場也將變得同樣難以察覺。”Lazzarin 在今年 5 月的一篇文章中寫道。Lazzarin 最感興趣的,是構建一種 “人格證明”(proof of personhood)機制:它應當讓真實人類可以輕鬆且免費地驗證自身身份,而讓機器人或欺詐者在大規模作假時付出高昂成本與操作難度。他提到,Sam Altman 發起的虹膜掃描項目 World 就是這類機制的典型代表。該項目的核心理念是,每個人只能註冊一次 World ID,其唯一性通過虹膜掃描來驗證(因爲每個人的虹膜都是獨一無二的)。
Lazzarin 在空投主題播客中補充道:“我非常希望看到更多人嘗試類似 World ID 的系統,它結合了生物識別技術與隱私保護機制,用以限制每人只能擁有一個身份 ID。”
不過,以太坊聯合創始人 Vitalik Buterin 認爲,“一人一 ID” 並非完美解決方案,因爲這意味着所有歷史行爲可能都被綁定到一個攻擊點 — — 即該身份所對應的密鑰。一旦泄露,風險極大。同時,他指出,生物識別和政府身份信息本身也可能被僞造。
爲何不直接取消加密空投?
如果加密空投如此容易被操控,那最直接的選擇似乎就是乾脆取消空投機制。不過,也有觀點認爲,空投仍有其存在的意義。將代幣空投給真實參與協議的用戶,不僅有助於實現項目治理的去中心化,也能通過賦予投票權等方式分散控制權。此外,空投往往還能製造大量話題熱度。“很顯然的一個理由是:當你發放大量可能具有價值的代幣時,就會吸引大量關注,這本身就具有營銷效果。”Lazzarin 表示。“空投本質上就是一種營銷工具。”
Wilton 也表示認同並指出,項目方應該預設一部分用戶會出售代幣,而這其實就是獲取用戶所需承擔的營銷成本,關鍵在於確保這些用戶是真實的人,並且 “願意長期留下來”。與此同時,Binance 則認爲,自動化機器人本身並非完全有害。事實上,在某些場景下,如果使用得當且透明,機器人反而可以發揮積極作用 — — 例如用於提供流動性、代表用戶執行策略,或在審計期間進行壓力測試模擬。
