Wormhole publie sa méthode de détection des « sorcières » et les détails concernant la distribution des récompenses d'airdrop, et prévoit de revoir certains utilisateurs
TechFlow SélectionTechFlow Sélection
Wormhole publie sa méthode de détection des « sorcières » et les détails concernant la distribution des récompenses d'airdrop, et prévoit de revoir certains utilisateurs
Les points clés pour faire face à la détection des sorcières incluent le retrait de fonds depuis les exchanges, le transfert de fonds selon un schéma irrégulier ou avec de longs intervalles, ainsi que l'évitement d'interactions uniques et répétitives.
Dédié à des analyses Web3 approfondiesRédaction : Wormhole
Traduction : Nan Zhi, Odaily Planet Daily
Depuis son lancement en 2020, les contributeurs de Wormhole ont construit et étendu le protocole pendant plus de trois ans, tout en élaborant un plan d'airdrop égalitaire visant à maximiser la récompense des utilisateurs légitimes. L'accent a été mis sur deux groupes principaux :
-
Applications multichaînes et utilisateurs interchaînes basés sur Wormhole ;
-
Groupes communautaires multichaînes clés.
Au cours des trois dernières années, les utilisateurs ont envoyé via le protocole de messagerie de Wormhole plus d’un milliard de messages depuis plusieurs millions de portefeuilles, utilisant des applications multichaînes sur 30 blockchains. Ces utilisateurs recevront 81 % de cet airdrop, soit environ 549 millions de W.
Wormhole a effectué une analyse Sybil en examinant les clusters de propriété et les comportements des portefeuilles interactifs, en pondérant chaque portefeuille selon le volume de transactions, la durée d’utilisation, la régularité de l’activité sur chaîne et d'autres facteurs importants. Cette analyse Sybil a été spécifiquement réalisée par Allium.
L'airdrop concerne plus de 400 000 portefeuilles répartis sur plus de 30 chaînes. Détails des données :
-
Date du snapshot : 6 février 2024 à 23h59 (UTC+8) ;
-
Nombre total de portefeuilles éligibles : plus de 400 000 ;
-
Volume de l'airdrop : 678 823 000 W, soit 6,78 % du total ;
-
Répartition : les utilisateurs sur chaîne représentent environ 81 % de l'offre (soit environ 549 millions de W), les groupes communautaires environ 19 % (soit environ 129 millions de W).
Règles de détection Sybil
Graphe de propriété (Ownership Graph)
Le regroupement par propriété (ownership clustering) constitue un aspect fondamental de l'analyse. Comme Wormhole relie de nombreux écosystèmes différents — EVM, Solana, Move, etc. —, un airdrop multichaîne est particulièrement complexe.
Afin de maximiser les chances pour chaque utilisateur d'être éligible à l'airdrop, Wormhole a construit un graphe de propriété attribuant un identifiant utilisateur unique à chaque groupe de portefeuilles appartenant à un même utilisateur, y compris ceux ayant interagi avec n’importe quelle application de l’écosystème Wormhole (comme Pike, Mayan, Allbridge, Portal ou bien d’autres DApps).
Ce graphe agrège sous un même identifiant utilisateur toutes les transactions qu’il aurait pu effectuer dans différents écosystèmes. Cela garantit que l'évaluation de l'utilisateur repose sur l'ensemble de ses activités, et non sur des actions fragmentées au sein d'un seul écosystème. Cette méthode constitue également la première étape d’une série de procédures permettant notamment de marquer manuellement les contrats, les hot wallets de relais de protocoles, ainsi que les grands clusters de propriété Sybil possédant des centaines, voire des milliers de portefeuilles.
Dans l'exemple ci-dessus, chaque portefeuille connecté peut être attribué à un même identifiant utilisateur. Cela permet de déterminer la récompense individuelle, même si certains portefeuilles ne sont pas directement liés entre eux. La récompense totale attribuée à un utilisateur éligible est répartie entre tous les portefeuilles de son cluster identifié. Il est donc essentiel de vérifier tous les portefeuilles ayant interagi avec des applications de l’écosystème Wormhole, qu’ils aient envoyé ou reçu des jetons, afin de percevoir l’intégralité de la récompense.
Analyse des sources de financement
Les attaques Sybil consistent généralement à alimenter des centaines, voire des milliers de portefeuilles depuis une seule source de financement, chacun exécutant ensuite un ensemble de transactions indépendantes au sein du protocole. Wormhole a analysé le comportement des sources de financement de chaque portefeuille pour détecter des caractéristiques typiques d’un Sybil.
Cette analyse a révélé deux types d’attaques par financement initial :
-
Financement en diffusion :
Portefeuille A → Portefeuilles B, C, D… Z
-
Financement en diffusion séquentielle :
Portefeuille A → B, Portefeuille B → C…
Analyse de regroupement comportemental
Bien que la détection des sources de financement Sybil soit efficace, les stratégies Sybil ont considérablement évolué au fil du temps. Les acteurs les plus sophistiqués peuvent désormais alimenter un grand nombre de portefeuilles individuellement depuis des bourses, tentant ainsi d’échapper aux algorithmes de détection. Toutefois, l’exécution massive de telles opérations nécessite une automatisation qui se traduit souvent par des motifs comportementaux distincts des utilisateurs légitimes. En appliquant l'algorithme de détection de communautés Louvain sur une matrice de similarité des transactions au sein des clusters de propriété, Wormhole a pu distinguer les comptes Sybil grâce à des opérations répétitives et des intervalles temporels similaires. L’image ci-dessous illustre de manière simplifiée ce type de comportement :
(Note d’Odaily Planet Daily : l’algorithme de détection de communautés Louvain est largement utilisé pour identifier des communautés. Il considère qu’un groupe de nœuds fortement connectés entre eux, mais faiblement reliés au reste du réseau, forme une communauté, correspondant dans le contexte Web3 aux participants à une attaque Sybil.)
Cet algorithme associe chaque transaction à un identifiant unique en fonction du moment, du rythme et de l'action, permettant de faire correspondre des comportements identiques ou quasi identiques. Cela permet de différencier les opérations automatisées massives et denses de celles, plus rares, menées par des utilisateurs réels. Les contributeurs de Wormhole n’utilisent cette stratégie d’identification qu’en complément d'autres mécanismes de détection Sybil.
Analyse des transactions spam
Une autre pratique courante consiste en des transactions rapides et successives impliquant des montants identiques de jetons, pouvant s’effectuer entre deux chaînes ou à travers plusieurs chaînes. Pendant la période d’activité Sybil massive observée à partir de décembre 2023, les portefeuilles ayant réalisé des transactions correspondant anormalement à ces fréquences élevées ont été signalés et exclus de l’airdrop.
Wormhole précise que cet algorithme risque inévitablement d’exclure certains utilisateurs normaux. Au cours des prochaines semaines, Wormhole procédera à une réévaluation minutieuse des éligibilités, et les récompenses des personnes qualifiées pourraient être ajustées.
Algorithme de récompense
Basé sur la durée et le montant des activités, quelques éléments clés incluent :
-
Activité utilisateur prolongée sur 3 mois ou plus bénéficie d’un multiplicateur supplémentaire ;
-
Activité antérieure au 1er décembre 2023 bénéficie d’un multiplicateur supplémentaire ;
-
Utilisateurs actifs durant le dernier hiver cryptomonnaie (juin 2022 à octobre 2023) ;
-
Utilisateurs présents durant la première année après le déploiement du mainnet ;
-
Utilisateurs dont la valeur cumulée des transactions dépasse 10 000 dollars ;
-
Transactions impliquant des chaînes couramment utilisées (comme ETH) ;
-
Transactions impliquant BTC, ETH, stablecoins et autres actifs essentiels à la DeFi ;
-
Les transactions vers des chaînes de destination où la liquidité est très faible ou inexistante subiront un multiplicateur négatif.
Airdrops communautaires spécifiques
Wormhole a alloué 19 % de l'airdrop à certaines communautés, notamment les participants à Wormhole Zealy, les stakers de Pyth, les détenteurs de DeGods et y00ts, les membres ayant l’identité « Bad Kids » sur Discord, les détenteurs de Mad Lads, ainsi que les membres de la communauté Monad.
Conclusion
Wormhole utilise de manière innovante le regroupement comportemental pour définir les adresses, puis détecte les comptes Sybil en analysant les sources de financement, la similarité des opérations et les transactions spam. Les principales recommandations pour éviter d’être identifié comme Sybil incluent : retirer des fonds depuis des bourses, transférer les fonds à des intervalles irréguliers ou espacés, et éviter les comportements d’interaction uniformes.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@wormholecrypto
