一、Connext女巫钱包地址特征分析
先下结论:
1、大部分女巫猎人水平较低,主要关注分发和归集这个最容易发现女巫的行为特征上,这个需要耗费大量的时间和精力
2、很小部分女巫猎人水平较高,追踪思路从钱包余额、gasLimit、区块Nonce、单链/多链行为一致化、Tx数量等多维度挖掘深层女巫用户,工具从debank、arkm、nashen等专业化工具演变。
3、用户提交的报告较多,目前看到积压几百条女巫报告未处理。项目方也拒绝了较多链上证据不足/不够直观的女巫报告,说明项目方需要人工审核的工作量巨大,尚未有工具可以一劳永逸。
4、Connext是继Hop后的第二个采用社区举报女巫的项目,注定被社区摒弃唾骂。connext也是继Zigzag后第二个官方明牌认定行为一致化女巫的项目方。这对后面的交互差异化要求更加大。
本次女巫报告里面的女巫行为:
1、分发(相同价值的代币)、归集(不限制于某一个链上)相同的代币。例如从币安提现到10个钱包,每个钱包1~1.2个eth; 例如在bsc网络归集SpaceId代币到币安;
2、行为一致化。 不区分任何一条链,具有创建时间相同、相同的交易时间、相同的交易对、相同的金额;例如在arb网络同一天有相同的eth-usdc 1000刀的交易量
3、Gas相同,区块相同,tx相同,账户余额相同等非交易性行为。例如10个钱包每笔交易gas相同,区块临近,tx数量相同
4、链路一致化。这个有点东西了,之前很少提及,即使时间、金额、交易都不同,但是链路相同也被女巫了;
怎么规避?
1、多样化充提现
2、交互行为多样化,避免3个钱包以上趋同性交易
3、链路交叉,多链+多项目交叉+多样化交易对+差异化金额
以下选取部分借鉴意义较大的女巫报告(以下女巫行为已被官方接纳)
核心大部分围绕着分发和归集为主,占据80%以上,中间叠加行为一致化(下面的分发归集“病毒图”来源于网络)
二、关于ok子账户的运转逻辑:
1、用户建立的子账户,虽然属于是ok的子账户,但是各自没有转账关联。
2、用户充值的资金/划转行为,ok会定期汇集到ok的热钱包里,理论上一次归集是
同一时间多用户的多子账户归集,这个行为是无法区分出来是否是女巫行为的