链上的身份验证与抗女巫攻击 (sybil-resistance) 已经变成 Web3 大规模采用的一大障碍,Volt Capital 指出根本原因出自于人格证明 (Proof Of Personhood, PoP) 的基础设施未完善,需有进一步的方法确认帐号的唯一性与人类性,并持续更新,才有机会根治女巫攻击迎来产业发展。
Web3 身份危机
项目成长需要建立在完善的身份制度上
随着 Web3 应用逐年变得引人注目,链上的身份判定问题却被严重低估,发展相对其他应用仍非常不足,特别是抗女巫攻击手段 (一个人申请多钱包地址进行非预期的行为),链上的身份判定问题已经成为加密领域面向广大消费者成长的瓶颈。
链上身份问题并不是一个新问题,但是虽然经过多年的发展,这个问题很大程度上仍未解决。已经有许多项目仍然因为链上真实用户的判断不精准,错误地将无效钱包地址与非真实人类的使用行为视为产品达到 PMF 的指标,进而做出错误的决策。
Web3 生态的大规模成长需要有完善的抗女巫措施与身份判断机制。尽管区块链经常因其开放性透明性受到称赞,但对项目最关键的指标 (例如活跃钱包或数量) 可能是充满误导性甚至没有意义的。
如果仍没有抗女巫措施,这种情况可能会在即将到来的市场周期出现相同的弊病。
动态竞争使得女巫攻击无法根治
Uniswap 和 dYdX 等早期空投设定了一个不可持续的产业标准,许多加密用户现在已经开始期待与产品互动就能获得利润丰厚的空投,甚至出现机器人和多钱包操作等完善的产业链。
虽然也开始出现许多防范的办法与工具,但是任何研究过抗女巫攻击的人都会承认:「这是一场不断发展猫捉老鼠的游戏,」攻击方不断会学习到新的技巧以突破防守方的限制,永远没有尽头的动态竞争。
Kerman Kohli 撰写的这篇令人震惊的文章,就是最极端的例子,公开介绍包括自动化钱包部署和各种链上操作的产品,同时提供针对加密团队可能用来清除假钱包的任何手段。
人格证明
上述的问题出在目前产业的身份基础设施仍未完善。
人格证明是数位身份的基础
大多数数位身份验证的焦点都集中在声誉、去中心化身份 (DID) 和隐私上,这些确实都很重要,但从根本上没有解决人格证明 (Proof Of Personhood, PoP) 的问题。
人格证明是一种基于个人的独特性与人类属性的身份机制。需要有人格证明才可以有身份验证与授权的可能,因此人格证明被视为是建立数位身份最基本的组件。
当今市场上的大多数 PoP 解决方案都是为了打击 AI 产生的虚假资讯和女巫攻击而设计的,但 Web3 似乎出于类似但不同的原因也需要 PoP 解决方案。
人格证明的架构下,有两个主要的关键需要满足,分别是唯一性 (Uniqueness) 还有人类性 (Humanness)。
唯一性:确保每个人只有一个身份
唯一性是指确保与 DAPP 互动的帐户,背后是唯一的个人,且不是由单一人操作多个帐户所衍生的。虽然每个唯一的用户只有一个钱包是最理想的,但是目前存在的加密钱包不适合强制执行这一点。
因此部分项目会使用已经经过验证的方式,例如 KYC 带来有意义的权衡。也可以从中理解目前的身份验证有所谓的不可能三角问题:
- 使用者体验 (UX):过多的验证流程会带来巨大的摩擦,降低用户的转换率与后续的指标。
- 用户主权 (sovereignty):使用 KYC 对于去中心化与自主的理念有许多冲突。
- 可信度 (assurance):不同手段会带来不同的保证等级,美国国家标准与技术研究所将保证等级分为三种,最基础 (例如信箱)、高可信度 (例如经由第三方认证)、最高可信度 (例如生物辨识、临柜验证)。
理想的身份解决方案将提供最高等级的保证,而不会增加太多的摩擦或损害用户主权。然而,由于尚不存在这样的解决方案,项目被迫做出对其使用场景最有意义的权衡。
人类性:确保是人类而非机器人
人类性要确保帐号背后是真人操作。通常可以借由帐号的活动,借此判断背后是机器人还是真人。
过去人类性辨别能力可以说比辨别唯一性更容易,因为人类使用者通常比机器人更复杂,使用者足迹通常有明显的不同。
但是长远来看,辨别人类性可能会成为一个更具挑战的问题,部分原因是某些帐户可能在机器人和人类之间摇摆。如果人类部署机器人 (代理) 来使用网路并代表自己进行交易,这种问题将会加剧。
因此有些身份解决方案会开始尝试更精准判断人类性的手段,通常也会有所争议。例如 Worldcoin使用扫描虹膜的方式。
持续更新
除了验证唯一性和或人类性,人格证明机制要能够更健康地运行,持续进行身份验证至关重要。
仅有在身份创建时进行验证的解决方案,特别容易受到女巫攻击和欺诈行为,例如 Worldcoin 就需要面对虹膜贩卖验证的问题。