在胡志明市郊外40分钟车程处,一座带冷藏系统的“铁皮棚”里,Mirai Labs首席执行官Corey Wilton首次亲眼见证了加密空投被滥用的惊人规模。这座看似普通的棚屋,却隐藏着令人毛骨悚然的秘密——据他估算,仅一间单人公寓大小的房间里,竟堆放着至少30,000部智能手机。
过去四年里,Wilton一直渴望亲眼目睹那种在2021年瓦解了他主打的NFT赛马游戏Pegaxy的幕后运作模式。他回忆道:“当时Pegaxy爆火,我们的日活跃用户数最高达到约50万。那时候,我们开始不断接到关于’机器人农场’的举报。”这些机器人可以同时操控上百个账号,迅速抢购胜率较高的赛马,并反复参与比赛以赢取游戏内货币,而这些代币随后可以在现实中变现。他描述道:“你会看到有人发的截图,屏幕上同时运行着十几个、二十几个应用程序,而且类似的画面也在社交媒体上频繁出现。”
Pegaxy是一款由系统自动运行、十五匹马同场竞技的赛马游戏。Wilton表示,机器人农场让这款游戏从“谁能赢”变成了“谁能更快地提取价值”——游戏氛围由此发生转变,也加速了项目的衰落。
今年5月,Wilton终于如愿以偿,在一位前Pegaxy玩家的协助下,得以独家参观越南一家“高度专业化的手机农场”。这位玩家是在TikTok上偶然发现了这处农场的踪迹。“我去了两个地方,都离我所在的位置大约40分钟车程,算是比较偏远的区域。”他回忆道,“那里绝对不会有外国人前往,而且他们也完全不希望被人知道。”Wilton描述其中一处地点是一座紧邻街道的铁皮棚,内部空调开到了“能有多冷就多冷”的程度。
铁皮棚内部摆满了金属架,每个架子上密密麻麻地放着上千部智能手机,只留下狭窄的通道供员工通行。整个布局看起来就像是一家“山寨”加密矿场。Wilton表示,对方向他展示了该业务中的“租赁环节”,客户可以根据自身需要租用这家手机农场,用于任何目的。与传统的机器人服务器不同,手机农场中的每部设备都配有独立的SIM卡和设备指纹,还可以伪装IP地理位置,使其更难被侦测,特别适用于要求每个账号绑定手机号的系统场景。此外,手机在计算能力与成本之间具备较高性价比,且其中某一台设备即便损坏,也能被快速替换,不会对整体运作造成实质影响。
Wilton表示,在他亲眼看到的案例中,一名操作员会通过电脑控制一部“主控手机”,这部主控设备又连接着500多部“从属手机”。无论主控手机上执行什么操作,所有从属设备都会同步复制。“他们的客户其实大多来自Web2行业。比如有K-pop经纪公司租用这些设备来刷流量;也有赌场用它来模拟真人玩家,让对局显得更’真实’,但其实是用来压制你,引导你输钱。”“还有一些Web2玩家批量刷手机游戏,通过养号再出售这些已升级的账号。”他补充道。
不过,Wilton表示,这家农场的核心业务其实是“制造”。该操作员会以低价收购损坏或废旧的智能手机,然后通过软件和其他手段进行改装,最终打包成“自助式手机农场”设备,销往海外市场。该项目每周可生产超过1,000部可直接用于部署的农场手机,每个“手机农场套装”大约包含20部设备。Wilton表示这些人并不亲自操作手机。他们不会自己去薅空投或者执行相关操作。他们的主要业务,其实是打包销售这些设备,并发往海外那些想在家操作的人手中。接下来你只需要让这些设备保持在线,再买更多手机接入就行了。”
Wilton表示感叹道难怪“机器人辅助的加密空投薅羊毛”已经成为加密行业的一大顽疾。所谓加密空投薅羊毛,指的是通过制造大量钱包地址、伪造用户行为等方式,来获取本应奖励给真实早期用户的免费代币。尽管大多数加密空投并不要求手机号码验证,但通过唯一的设备指纹和IP地址,依然可以绕过抗女巫攻击机制(Sybil protection)。这类“薅空投”的做法往往导致农场用户在领取代币后立即抛售,冲击市场价格,同时也使得真正的真实用户更难获得空投。许多项目在空投前会出现大量虚假活跃行为,而一旦空投发放完成,用户数量和代币价格往往迅速下跌。
加密空投争议频发,机器人行为遭到广泛指责。无论是通过大批手机操控,还是用单台电脑控制,机器人行为都对加密空投活动造成了极大破坏。去年6月,以太坊零知识(ZK)Layer2扩容项目ZKsync因空投遭遇大量机器人攻击而饱受诟病,用户纷纷指责其为“机器人薅羊毛”大开方便之门。链上数据分析平台Lookonchain发布消息称,一名“空投猎人”通过85个钱包地址领取了超过300万枚ZKsync(ZK)代币,当时总价值高达75.3万美元。另一名用户则在社交平台上公开炫耀,称自己通过“极其高效的$ZK女巫攻击策略”获利近80万美元。
所谓“女巫攻击”(Sybil attack),是一种安全威胁行为,攻击者通过制造多个虚假身份,试图在网络系统中谋取不正当优势。该术语来源于一本名为《Sybil》的书,书中描写了一位患有多重人格障碍的女性案例。ZKsync的竞争对手Polygon的安全主管Mudit Gupta将其称为“可能是史上最容易被薅、也最被薅过头的空投”,并将问题归咎于防机器人机制的缺失。尽管ZKsync此次设置了七项资格筛选标准,旨在防范女巫攻击。ZKsync在其官方FAQ中回应称,当前的女巫攻击策略日益复杂,已经很难与真实用户区分开来;而如果采取过于严格的筛选标准,虽然能拦下一部分女巫攻击者,但也可能会误伤大量真实用户。
不过就在上个月,Binance(币安)在整顿其“Binance Alpha Points”计划中的机器人行为时,给出了不同的观点。“传统的机器人通常遵循可预测、重复的行为模式,因此相对容易被识别,”Binance一位发言人在接受采访时表示。“但随着AI驱动型机器人的兴起,我们现在面对的是一套更接近人类行为的系统——从浏览习惯到交互时间,都能高度模拟真人,使得识别难度大大增加。”Binance表示,平台正在不断加大反机器人力度,开发新型工具,从大规模行为模式中识别异常操作。比如地址实体关联分析,它可以帮助识别由同一行为体控制的钱包集群,即便这些钱包在表面上看似彼此独立。
这些分析对于揭示伪装持仓、多地址批量转账操控(multisend manipulation)以及刷量交易(wash trading)等行为尤为关键——这些正是AI驱动型机器人常用的手法,用于伪造真实参与度和虚假流动性。而遭殃的不止是加密空投,机器人也被指责大量涌入市场,制造出无数毫无价值的Meme币。Coinbase产品负责人Conor Grogan最近在X平台发文指出:“目前在PumpFun和LetsBonk平台上线的大多数代币,背后几乎都是由机器人操控。”他发现,在Meme币平台LetsBonk上,头部账号平均每3分钟就发布一个新代币。
a16z Crypto的数据科学家兼合伙人Daren Matsuoka认为,女巫攻击(Sybil attack)其实是近年来才显现出来的问题。“在加密货币的大部分发展历程中,我们其实天然就具备一定的抗女巫能力——因为在这些Layer1区块链上,Gas费用一直都很高。”他在今年4月的一期a16z Crypto播客中表示。“过去你为了获得空投资格,确实需要支付几美元甚至几十美元的交易成本。但随着基础设施的不断优化,现在操作的成本已经变得非常低。我认为,这将彻底改变攻击和防御机制的博弈格局。”a16z Crypto的首席技术官Eddy Lazzarin则一直在强调构建“人类证明”(proof of human)机制的重要性。
“AI现在已经可以生成大量逼真的行为记录。最先进的机器人农场如今已经几乎无法被可靠识别,而且用不了多久,那些技术中等的农场也将变得同样难以察觉。”Lazzarin在今年5月的一篇文章中写道。Lazzarin最感兴趣的,是构建一种“人格证明”(proof of personhood)机制:它应当让真实人类可以轻松且免费地验证自身身份,而让机器人或欺诈者在大规模作假时付出高昂成本与操作难度。他提到,Sam Altman发起的虹膜扫描项目World就是这类机制的典型代表。该项目的核心理念是,每个人只能注册一次World ID,其唯一性通过虹膜扫描来验证(因为每个人的虹膜都是独一无二的)。
Lazzarin在空投主题播客中补充道:“我非常希望看到更多人尝试类似World ID的系统,它结合了生物识别技术与隐私保护机制,用以限制每人只能拥有一个身份ID。”不过,以太坊联合创始人Vitalik Buterin认为,“一人一ID”并非完美解决方案,因为这意味着所有历史行为可能都被绑定到一个攻击点——即该身份所对应的密钥。一旦泄露,风险极大。同时,他指出,生物识别和政府身份信息本身也可能被伪造。
为何不直接取消加密空投?如果加密空投如此容易被操控,那最直接的选择似乎就是干脆取消空投机制。不过,也有观点认为,空投仍有其存在的意义。将代币空投给真实参与协议的用户,不仅有助于实现项目治理的去中心化,也能通过赋予投票权等方式分散控制权。此外,空投往往还能制造大量话题热度。“很显然的一个理由是:当你发放大量可能具有价值的代币时,就会吸引大量关注,这本身就具有营销效果。”Lazzarin表示。“空投本质上就是一种营销工具。” Wilton也表示认同并指出,项目方应该预设一部分用户会出售代币,而这其实就是获取用户所需承担的营销成本,关键在于确保这些用户是真实的人,并且“愿意长期留下来”。
与此同时,Binance则认为,自动化机器人本身并非完全有害。事实上,在某些场景下,如果使用得当且透明,机器人反而可以发挥积极作用——例如用于提供流动性、代表用户执行策略,或在审计期间进行压力测试模拟。