Điều tra các địa chỉ "cừu non": Làm thế nào để dùng công nghệ AI truy tìm 90% địa chỉ phù thủy?
Tuyển chọn TechFlowTuyển chọn TechFlow
Điều tra các địa chỉ "cừu non": Làm thế nào để dùng công nghệ AI truy tìm 90% địa chỉ phù thủy?
Nhóm kiểm soát rủi ro của Binance đã hợp tác với giới học thuật đề xuất hệ thống phát hiện mới dựa trên «AI + Phân tích bản đồ blockchain» để phát hiện các địa chỉ Sybil.
Chuyên sâu báo cáo Web3Bài viết: Nicky, Foresight News
Bài viết này được biên soạn dựa trên nội dung bài luận văn: "Detecting Sybil Addresses in Blockchain Airdrops: A Subgraph-based Feature Propagation and Fusion Approach".
Gần đây, bộ phận kiểm soát rủi ro của Binance đã hợp tác cùng đội Zand AI và ZEROBASE công bố một bài nghiên cứu về các cuộc tấn công nữ thần (Sybil), nhằm giúp bạn đọc nhanh chóng nắm bắt nội dung cốt lõi của bài luận văn, tác giả đã tổng hợp lại những điểm chính sau đây.
Trong các chiến dịch airdrop tiền mã hóa, luôn tồn tại một nhóm người chơi đặc biệt hoạt động trong bóng tối. Họ không phải là người dùng bình thường, mà sử dụng các script tự động để tạo hàng trăm, thậm chí hàng ngàn địa chỉ giả — đây chính là những “địa chỉ nữ thần” (Sybil addresses) nổi tiếng xấu xa. Những địa chỉ này như ký sinh trùng bám vào các chiến dịch airdrop của những dự án lớn như Starknet, LayerZero... Chúng ăn mòn ngân sách của dự án, làm loãng phần thưởng cho người dùng thật, đồng thời phá hoại nền tảng công bằng của hệ sinh thái blockchain.
Đối mặt với trò chơi mèo đuổi chuột công nghệ liên tục này, đội kiểm soát rủi ro của Binance cùng các tổ chức học thuật đã phát triển một hệ thống phát hiện AI mang tên “lightGBM dựa trên đồ thị con”, đạt độ chính xác lên tới 90% khi kiểm thử trên dữ liệu thực tế.
Ba “thẻ căn cước” của địa chỉ nữ thần
Tại sao những địa chỉ gian lận này có thể bị phát hiện chính xác? Nhóm nghiên cứu đã phân tích hồ sơ giao dịch của 193.701 địa chỉ thật (trong đó 23.240 địa chỉ được xác nhận là Sybil), và phát hiện ra rằng chúng chắc chắn để lại ba dạng dấu vết hành vi:
Dấu vân tay thời gian là điểm sơ hở đầu tiên. Hành vi của các địa chỉ Sybil thể hiện sự “canh thời điểm cực kỳ chính xác”: từ việc lần đầu nhận phí gas, hoàn tất giao dịch đầu tiên đến tham gia airdrop, các bước then chốt này thường xảy ra dồn dập trong khoảng thời gian rất ngắn. Trái lại, thời gian hoạt động của người dùng thật phân bố ngẫu nhiên, bởi chẳng ai tạo riêng một địa chỉ chỉ để nhận airdrop rồi lập tức bỏ đi.
Hành trình dòng tiền tiết lộ động cơ kinh tế. Số dư của các địa chỉ này luôn duy trì ở mức “vừa đủ dùng”: chỉ cao hơn chút ít so với ngưỡng tối thiểu yêu cầu của airdrop (giảm chi phí vốn), và ngay khi nhận được phần thưởng sẽ lập tức chuyển đi nơi khác. Rõ ràng hơn nữa, khi thao tác theo lô, số tiền chuyển khoản của chúng có tính nhất quán rất cao, trái ngược với giao dịch thật của người dùng có biến động tự nhiên.
Mạng quan hệ trở thành bằng chứng cuối cùng. Thông qua việc xây dựng bản đồ giao dịch, nhóm nghiên cứu quan sát thấy ba cấu trúc topo điển hình:
-
Mạng hình sao: Một “trung tâm điều phối” phân phối tiền cho hàng chục địa chỉ con.
-
Cấu trúc chuỗi: Dòng tiền được truyền như tiếp sức giữa các địa chỉ nhằm giả tạo hoạt động.
-
Phân tán hình cây: Sử dụng cấu trúc nhiều tầng nhằm né tránh phát hiện.
Những mô hình này phơi bày tính chất phối hợp mang tính tự động hóa, cũng là đặc điểm khó mô phỏng nhất đối với các phương pháp phát hiện truyền thống.
Hai lớp mạng quan hệ: Công cụ phá án của thám tử AI
Theo dõi toàn bộ dữ liệu giao dịch blockchain giống như mò kim đáy biển. Nhóm nghiên cứu áp dụng mô hình đồ thị con hai lớp — tương tự như một thám tử điều tra, không chỉ xem xét nhân vật mục tiêu (địa chỉ A), mà còn kiểm tra những liên hệ trực tiếp (các địa chỉ chuyển tiền cho A, A từng chuyển tiền tới), và cả các mối liên hệ cấp hai của những người này.
Quan trọng hơn, họ sáng tạo ra “công nghệ kết hợp đặc trưng”: hệ thống tập hợp các đặc điểm hành vi của các địa chỉ lân cận để tạo thành “hồ sơ hành vi” cho địa chỉ mục tiêu. Ví dụ, thống kê giá trị nhỏ nhất, lớn nhất, trung bình, độ lệch của số tiền chuyển ra từ tất cả các địa chỉ liên quan, từ đó hình thành các chỉ số phức hợp mô tả quy luật dòng tiền; hoặc tính toán bậc vào/bậc ra (số lượng địa chỉ liên kết) của các láng giềng để đánh giá mật độ mạng lưới. Thiết kế này giúp hệ thống duy trì hiệu suất cao khi phân tích hơn 5,8 triệu giao dịch, tránh được thảm họa tính toán khi phương pháp truyền thống phải theo dõi toàn bộ mạng.
Kiểm nghiệm thực tiễn: Bắt “bóng ma” trong chiến dịch airdrop của Binance
Hệ thống này đã vượt qua bài kiểm tra thực tế với dữ liệu airdrop của token gắn linh hồn Binance (BAB). BAB là loại token gắn linh hồn do Binance ra mắt năm 2022, dùng để xác minh danh tính người dùng thật đã hoàn tất KYC, do đó trở thành sân chơi lý tưởng để kiểm tra hành vi Sybil.
Nhóm nghiên cứu trước tiên sàng lọc các địa chỉ đáng ngờ thông qua phân tích thủ công và phân cụm, thiết lập cơ chế khiếu nại và thẩm định để xác nhận nhãn cuối cùng cho các địa chỉ Sybil. Khi làm sạch dữ liệu, họ loại trừ các địa chỉ tổ chức (như ví nóng của sàn giao dịch), hợp đồng thông minh và các địa chỉ tồn tại quá 1 năm (do Sybil thường bỏ các địa chỉ cũ để tránh bị phát hiện), đảm bảo độ tinh khiết của tập dữ liệu.
Kết quả cho thấy, phương pháp mới đạt độ chính xác cao trong việc nhận diện ba loại mạng gian lận:
-
Mạng hình sao: Tỷ lệ nhận diện 99% (phương pháp cũ tối đa 95%)
-
Cấu trúc chuỗi: Tỷ lệ nhận diện 100% (phương pháp cũ tối đa 95%)
-
Phân tán hình cây: Tỷ lệ nhận diện 97% (phương pháp cũ tối đa 95%)
Bốn chỉ số cốt lõi đều vượt ngưỡng 0.9: Độ chính xác đạt 0.943 (mô hình tốt nhất trước đó là 0.796), độ thu hồi đạt 0.918 (nghĩa là hơn 91% địa chỉ Sybil bị phát hiện), điểm F1 tổng hợp đạt 0.930, giá trị AUC đạt 0.981 (gần phân loại hoàn hảo). Điều này có nghĩa các dự án có thể giảm mạnh rủi ro nhầm lẫn người dùng thật, đồng thời bịt kín lỗ hổng gian lận.
Giới hạn kỹ thuật và chiến trường tương lai
Hiện tại, công nghệ này chủ yếu phù hợp với các kịch bản airdrop dài hạn (ví dụ như token gắn linh hồn phát hành theo từng giai đoạn), vì những hoạt động dạng này tích lũy đủ dữ liệu nhãn để AI học hỏi. Về khả năng tương thích blockchain, nó hỗ trợ các chuỗi tương thích máy ảo Ethereum (EVM) như BNB Chain, Polygon, tạm thời chưa áp dụng được với các chuỗi mô hình UTXO như Bitcoin. Tuy nhiên, bài luận văn chỉ ra rằng chi phí gas cao khiến các hoạt động airdrop hiếm khi diễn ra trên chuỗi UTXO, nên ảnh hưởng thực tế là hạn chế.
Nhóm nghiên cứu nhấn mạnh rằng tiềm năng của công nghệ này vượt xa lĩnh vực airdrop. Vì nó nhận diện bất thường thông qua mạng giao dịch và mẫu hành vi, nên cũng có thể ứng dụng vào:
-
Phát hiện hành vi thao túng thị trường (ví dụ như các địa chỉ phối hợp trong pump và dump).
-
Đánh giá rủi ro thanh khoản token (nhận diện cặp giao dịch giả mạo).
-
Xây dựng hệ thống xếp hạng tín dụng trên chuỗi.
Khi chiến lược tấn công Sybil tiếp tục tiến hóa, cuộc đua vũ trang công nghệ nhằm bảo vệ sự công bằng của Web3 sẽ thúc đẩy các hệ thống phát hiện hướng tới sự thông minh và phổ quát hơn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Foresight News
