作者|Felix Ng
編譯|吳說區塊鏈Aki Chen
全文如下:
在距離胡志明市僅40 分鐘車程的一座帶冷藏系統的「鐵皮棚」 裡,Mirai Labs 執行長Corey Wilton 首次真正意識到加密空投被濫用的規模之巨大。 「這真的令人毛骨悚然。」Wilton 在接受採訪時說。此前他剛剛參觀了一處位於越南南部的“手機農場”,據他估算,那間空間僅有一間單人公寓大小的房間裡,至少堆放著30,000 部智慧型手機。
在過去四年裡,Wilton 一直希望能親眼見識,那種在2021 年瓦解了他主打的NFT 賽馬遊戲Pegaxy 的幕後運作模式。 「當時Pegaxy 爆火,我們的日活躍用戶數最高達到約50 萬。」Wilton 回憶道,「那時候,我們開始不斷接到關於『機器人農場』的舉報。」這些機器人可以同時操控上百個帳號,迅速搶走勝率較高的賽馬,並反復參與比賽以贏取遊戲內貨幣,而這些代幣隨後可以在現實中變現。 「你會看到有人發的截圖,螢幕上同時運行著十幾個、二十幾個應用程序,而且類似的畫面也在社交媒體上頻繁出現。」他解釋說。
Pegaxy 是一款由系統自動運行、十五匹馬同場競技的賽馬遊戲。 Wilton 表示,機器人農場讓這款遊戲從「誰能贏」 變成了「誰能更快地提取價值」 — — 遊戲氛圍由此發生轉變,也加速了專案的衰落。
親臨現場:揭秘越南「專業級」 手機農場
今年5 月,Wilton 終於如願,在一位前Pegaxy 玩家協助下,得以獨家參觀越南一家「高度專業的手機農場」。這位玩家是在TikTok 上偶然發現了這處農場的痕跡。
「我去了兩個地方,都離我所在的位置大約40 分鐘車程,算是比較偏遠的區域。」他回憶道,「那裡絕對不會有外國人前往,而且他們也完全不希望被人知道。」Wilton 描述其中一處地點是一座緊鄰街道的鐵皮棚,內部空調開到了「能有多冷就多冷」 的程度。
鐵皮棚內部擺滿了金屬架,每個架子上密密麻麻地放著上千部智慧型手機,只留下狹窄的通道供員工通行。整個佈局看起來就像是一家“山寨” 加密礦場。
Wilton 表示,對方向他展示了該業務中的“租賃環節”,客戶可以根據自身需求租用這家手機農場,用於任何目的。與傳統的機器人伺服器不同,手機農場中的每個裝置都配備獨立的SIM 卡和裝置指紋,還可以偽裝IP 地理位置,使其更難被偵測,特別適用於要求每個帳號綁定手機號碼的系統場景。此外,手機在運算能力與成本之間具備較高性價比,且其中某一台設備即便損壞,也能被快速替換,不會對整體運作造成實質影響。
Wilton 表示,在他親眼看到的案例中,一名操作員會透過電腦控制一部“主控手機”,而這部主控設備又連接著500 多部“從屬手機”。無論主控手機執行什麼操作,所有從屬裝置都會同步複製。 “他們的客戶其實大多來自Web2 行業。比如有K-pop 經紀公司租用這些設備來刷流量;也有賭場用它來模擬真人玩家,讓對局顯得更'真實',但其實是用來壓制你,引導你輸錢。”
「還有一些Web2 玩家批量刷手機遊戲,透過養號再出售這些已升級的帳號。」他補充道。不過,Wilton 表示,這家農場的核心業務其實是「製造」。
該操作員會以低價收購損壞或廢棄的智慧型手機,然後透過軟體和其他手段進行改裝,最終打包成「自助式手機農場」 設備,銷往海外市場。該專案每周可生產超過1,000 部可直接用於部署的農場手機,每個「手機農場套裝」 大約包含20 部設備。 Wilton 表示這些人並沒有親自操作手機。他們不會自己去薅空投或執行相關操作。他們的主要業務,其實是打包銷售這些設備,並發往海外那些想在家操作的人手中。接下來你只要讓這些裝置保持在線,再買更多手機接入就行了。 」
Wilton 表示感嘆道難怪「機器人輔助的加密空投薅羊毛」 已成為加密產業的一大頑疾。所謂加密空投薅羊毛,指的是透過製造大量錢包地址、偽造用戶行為等方式,來獲取本應獎勵給真實早期用戶的免費代幣。儘管大多數加密空投並不要求手機號碼驗證,但透過唯一的裝置指紋和IP 位址,依然可以繞過抗女巫攻擊機制(Sybil protection)。
這類「薅空投」 的做法往往導致農場用戶在領取代幣後立即拋售,衝擊市場價格,同時也使得真正的真實用戶更難獲得空投。許多項目在空投前會出現大量虛假活躍行為,一旦空投發放完成,用戶數量和代幣價格往往會迅速下跌。
加密空投爭議頻繁,機器人行為廣受指責
無論是透過大批手機操控,或是用單台電腦控制,機器人行為都對加密空投活動造成了極大破壞。去年6 月,以太坊零知識(ZK)Layer2 擴容計畫ZKsync 因空投遭遇大量機器人攻擊而飽受詬病,用戶紛紛指責其為「機器人薅羊毛」 大開方便之門。
鏈上數據分析平台Lookonchain 發布消息稱,一名「空投獵人」 透過85 個錢包地址領取了超過300 萬枚ZKsync (ZK) 代幣,當時總價值高達75.3 萬美元。另一名用戶則在社群平台上公開炫耀,表示自己透過「極為高效的$ZK 女巫攻擊策略」 獲利近80 萬美元。
所謂「女巫攻擊」(Sybil attack),是一種安全威脅行為,攻擊者透過製造多個虛假身份,試圖在網路系統中謀取不正當優勢。這個術語源自於一本名為《Sybil》的書,書中描寫了一位患有多重人格障礙的女性案例。 ZKsync 的競爭對手Polygon 的安全主管Mudit Gupta 將其稱為“可能是史上最容易被薅、最被薅過頭的空投”,並將問題歸咎於防機器人機制的缺失。儘管ZKsync 這次設定了七項資格篩選標準,旨在防範女巫攻擊。
ZKsync 在其官方FAQ 中回應稱,當前的女巫攻擊策略日益複雜,已經很難與真實用戶區分開來;而如果採取過於嚴格的篩選標準,雖然能攔下一部分女巫攻擊者,但也可能會誤傷大量真實用戶。
不過就在上個月,Binance(幣安)在整頓其「Binance Alpha Points」 計畫中的機器人行為時,卻給出了不同的觀點。 「傳統的機器人通常遵循可預測、重複的行為模式,因此相對容易被識別,」Binance 一位發言人在接受採訪時表示。 「但隨著AI 驅動型機器人的興起,我們現在面對的是一套更接近人類行為的系統 — — 從瀏覽習慣到交互時間,都能高度模擬真人,使得識別難度大大增加。」Binance 表示,平台正在不斷加大反機器人力度,開發新型工具,從大規模行為模式中識別異常操作。例如位址實體關聯分析,它可以幫助識別由相同行為者控制的錢包集群,即便這些錢包在表面上看似彼此獨立。
這些分析對於揭示偽裝持倉、多地址批量轉帳操控(multisend manipulation)以及刷量交易(wash trading)等行為尤為關鍵 — — 這些正是AI 驅動型機器人常用的手法,用於偽造真實參與度和虛假流動性。而遭殃的不只加密空投,機器人也被指責大量湧入市場,製造出無數毫無價值的Meme 幣。 Coinbase 產品負責人Conor Grogan 最近在X 平台發文指出:「目前在PumpFun 和LetsBonk 平台上線的大多數代幣,背後幾乎都是由機器人操控。」他發現,在Meme 幣平台LetsBonk 上,頭部帳號平均每3 分鐘就發布一個新代幣。
a16z Crypto 的資料科學家兼合夥人Daren Matsuoka 認為,女巫攻擊(Sybil attack)其實是近年來才顯現出來的問題。 「在加密貨幣的大部分發展歷程中,我們其實天然就具備一定的抗女巫能力 — — 因為在這些Layer1 區塊鏈上,Gas 費用一直都很高。」他在今年4 月的一期a16z Crypto 播客中表示。
「過去你為了獲得空投資格,確實需要支付幾美元甚至幾十美元的交易成本。但隨著基礎設施的不斷優化,現在操作的成本已經變得非常低。我認為,這將徹底改變攻擊和防禦機制的博弈格局。」a16z Crypto 的首席技術官Eddy Lazzarin 則一直在構建“人類證明”(proof ofhuman)的重要性。
「AI 現在已經可以產生大量逼真的行為記錄。最先進的機器人農場如今已經幾乎無法被可靠識別,而且用不了多久,那些技術中等的農場也將變得同樣難以察覺。」Lazzarin 在今年5 月的一篇文章中寫道。 Lazzarin 最感興趣的,是構建一種「人格證明」(proof of personhood)機制:它應當讓真實人類可以輕鬆且免費地驗證自身身份,而讓機器人或欺詐者在大規模作假時付出高昂成本與操作難度。他提到,Sam Altman 發起的虹膜掃描計畫World 就是這類機制的典型代表。這個計畫的核心理念是,每個人只能註冊一次World ID,其唯一性透過虹膜掃描來驗證(因為每個人的虹膜都是獨一無二的)。
Lazzarin 在空投主題播客中補充道:“我非常希望看到更多人嘗試類似World ID 的系統,它結合了生物識別技術與隱私保護機制,用於限制每人只能擁有一個身份ID。”
不過,以太坊聯合創始人Vitalik Buterin 認為,「一人一ID」 並非完美解決方案,因為這意味著所有歷史行為可能都被綁定到一個攻擊點 — — 即該身分所對應的金鑰。一旦洩露,風險極大。同時,他指出,生物辨識和政府身分資訊本身也可能被偽造。
為何不直接取消加密空投?
如果加密空投如此容易被操控,那麼最直接的選擇似乎就是乾脆取消空投機制。不過,也有觀點認為,空投仍有其存在的意義。將代幣空投給真實參與協議的用戶,不僅有助於實現專案治理的去中心化,也能透過賦予投票權等方式分散控制權。此外,空投往往還能製造大量話題熱度。 「很顯然的一個理由是:當你發放大量可能具有價值的代幣時,就會吸引大量關注,這本身就具有行銷效果。」Lazzarin 表示。 “空投本質上就是一種行銷工具。”
Wilton 也表示認同並指出,專案方應該預設一部分用戶會出售代幣,而這其實就是獲取用戶所需承擔的行銷成本,關鍵在於確保這些用戶是真實的人,並且「願意長期留下來」。同時,Binance 則認為,自動化機器人本身並非完全有害。事實上,在某些場景下,如果使用得當且透明,機器人反而可以發揮積極作用 — — 例如用於提供流動性、代表使用者執行策略,或在審計期間進行壓力測試模擬。
