Атака Сивиллы в блокчейне и эйрдропах: механизмы, примеры и защита

Распределенные блокчейн-сети не имеют единого центрального узла, управляющего системой. Это значит, что контроль над блокчейном осуществляется децентрализованной сетью узлов путем механизма, заложенного в алгоритме консенсуса. Однако при таком подходе возникают новые угрозы, одной из которых является атака Сивиллы.

Что такое атака Сивиллы и каковы ее последствия?

Атака Сивиллы — это разновидность угрозы кибербезопасности, при которой злоумышленники создают множество копий фальшивых узлов либо аккаунтов для манипуляции блокчейн-сетью. Самих атакующих представители криптосообщества, как правило, называют "сибилами".

Впервые термин "атака Сивиллы" начали использовать еще в 2002 году, он был описан исследователем Microsoft Research Джоном Р. Дусером в его собственной фундаментальной работе под названием "The Sybil Attack". Дусер описал угрозу, при которой один злоумышленник создает и контролирует множество поддельных идентификаторов (узлов) в одноранговой (P2P) сети для получения несправедливого преимущества и дестабилизации системы.

Сам термин был заимствован из популярной книги 1973 года "Сивилла" (Sybil) и связан с диссоциативным расстройством идентичности, известным на тот момент как расстройство множественной личности. Эта метафора удачно вписалась в концепцию атаки Сивиллы и позднее ее начали использовать для описания блокчейн-угроз.

Атака Сивиллы является не простой угрозой, а фундаментальной проблемой самой концепции децентрализованных систем. Основная цель проведения таких атак — получение контроля над децентрализованной сетью, то есть реализация атаки 51%, позволяющей проводить двойное расходование*.

* Двойное расходование — повторная продажа одних и тех же активов в системах электронных платежей. Двойное расходование представляет собой результат успешной хакерской атаки.

Атака Сивиллы в эйрдропах

Хотя изначально термин "атака Сивиллы" в криптоидустрии был использован для обозначения киберугроз в блокчейн-системах, позднее термин начали использовать "охотники за эйрдропами*" или дропхантеры.

* Эйрдроп — бесплатная раздача криптовалюты активным пользователям какого-либо сервиса за вклад в развитие экосистемы.

В контексте эйрдропов и их разновидностей (ретродропов, баунти и т.д.) сибилами называют пользователей, которые создают множество аккаунтов или криптокошельков с целью получения дополнительного вознаграждения при распределении токенов. Наиболее продвинутые дропхантеры создают целые фермы ботов с сотнями и даже тысячами аккаунтов, которые имитируют реальные действия пользователей.

Атака Сивиллы приводит к неравномерному и несправедливому распределению токенов во время эйрдропа, от чего уже пострадало множество известных проектов, например, Starknet, zkSync и LayerZero. С целью предотвращения или минимизации ущерба от подобных атак команды проектов внедряют различные механизмы фильтрации "сибилов".

Например, LayerZero сотрудничал с известной аналитической платформой Nansen для выявления кластеров мошеннических кошельков. По данным аналитиков, в 2024 году команда LayerZero выявила более 800 000 адресов, потенциально связанных с сибилами.

Несмотря на усилия Web3-проектов, некоторым участникам все-таки удается обойти системы фильтрации и получить дополнительные награды в ходе эйрдропов. По оценкам Dragonfly за 2025 год, миллиарды долларов в виде эйрдропов попадают в руки сибилов либо не распределяются вовсе из-за малоэффективных методов защиты от атаки Сивиллы.

Виды атак Сивиллы

Атаки Сивиллы делятся на два основных типа — прямые и непрямые.

Прямая атака Сивиллы

При прямой атаке Сивиллы злоумышленники напрямую взаимодействуют с честными узлами (нодами) блокчейн-сети, чтобы получить контроль над децентрализованным протоколом.

Если злоумышленникам дается захватить сеть, они получают контроль над сетевым трафиком. Это позволяет им:

• отклонять или подменять транзакции участников;
• изолировать честные узлы, полностью управляя их входящими и исходящими данными;
• искажать результаты голосования в блокчейнах с Proof-of-Stake (PoS) и системах децентрализованных автономных организаций (DAO).

Большинство зафиксированных случаев атак Сивиллы относятся именно к прямым. Они наиболее распространены, потому что требуют меньше ресурсов и проще в реализации, чем непрямые.

Непрямая атака Сивиллы

При непрямой атаке Сивиллы злоумышленники не взаимодействуют напрямую с узлами сети. Вместо этого они используют скрытые ресурсы и обходные пути, чтобы получить влияние на управление сетью.

Такой подход позволяет атакующим оставаться незаметными. Например, они могут:

• распространять ложную информацию через промежуточные узлы;
• создавать фальшивые связи между участниками, влияя на их репутацию и решения.

Хотя непрямые атаки встречаются реже, они считаются более опасными, поскольку их сложнее обнаружить и предотвратить.

Примеры атак Сивиллы

Атаке Сивиллы подвергались известные сети, такие как Monero и Ethereum Classic. Например, в 2020 году злоумышленник проводил сибил-атаку на сеть Monero в течение 10 дней путем сопоставления IP-адресов узлов с транзакциями, однако предприятие оказалось безуспешным и не повлияло на безопасность сети.

Ethereum Classic подвергался атаке Сивиллы несколько раз. В 2020 году атакующим трижды удалось захватить контроль над блокчейном Ethereum Classic и провести двойное расходование, ущерб от которого составил более $7 млн.

В 2018 году злоумышленники реализовали прямую атаку Сивиллы на сеть Verge, создав множество фальшивых узлов и получив контроль над таймштампами*. В результате атакующим удалось манипулировать временем в блокчейне и добывать блоки со сверхнизкой сложностью. Таким образом злоумышленники смогли украсть около $1,6 млн в нативных токенах XVG. Это также стало примером атаки 51%.

* Таймштамп (от англ. timestamp) — это метка времени, которая фиксирует точный момент, когда произошло какое-либо событие. В блокчейне таймштамп используется для определения последовательности транзакций и предотвращения подделки данных.

Насколько реальны угрозы от атаки Сивиллы для блокчейнов?

Хотя дропхантерам еще удается обходить защитные механизмы Web3-проектов и извлекать дополнительную прибыль от своих ферм, атака Сивиллы не представляет экономической угрозы для самих блокчейн-экосистем.

В блокчейнах на базе моделей Proof-of-Work (PoW) или Proof-of-Stake (PoS), таких как Bitcoin, Ethereum, BNB Chain, Dogecoin и Cardano, для успешного проведения атаки Сивиллы потребуются многомиллионные или даже миллиардные затраты либо на вычислительное оборудование, либо на сами токены для стейкинга, которые валидаторы должны заблокировать на определенное время.

При этом для злоумышленников отсутствуют какие-либо гарантии достижения результата. Например, в PoS-сетях активы злоумышленников в зависимости от конкретного блокчейна могут быть частично или полностью конфискованы в виде штрафа — этот механизм известен как слешинг.

Кроме того, в современных блокчейнах заложены новые, более продвинутые механизмы защиты от сибил-атак, такие как технология "нулевого доказательства" (ZK), не требующие раскрытия личности для верификации узлов в блокчейн-сети, и социальные графы, визуально отражающие сетевые узлы.

Например, известный криптопроект Worldcoin использует ZK-технологию для доказательства "человечности" узлов. В основе протокола Worldcoin лежит механизм консенсуса Proof-of-Humanity (PoH), который позволяет верифицировать узлы валидаторов и пользователей без раскрытия личности при помощи биометрических данных. Сами доказательства "человечности" записываются в смарт-контракт и остаются в неизменном виде.

Также препятствием для проведения атаки Сивиллы могут стать инструменты верификации для деанонимизации участников сети и системы защиты репутации с внедрением рейтинга узлов.

Блокчейн-протоколы могут также комбинировать механизмы защиты от атак Сивиллы. Например, в социальных графах, как правило, отображены системы репутации и связи между участниками, что легко позволяет выявить ноды злоумышленников при анализе. Это выявляется тем, что "честные" узлы обычно имеют разнообразные связи в то время, как вредоносные ноды изолированы и зачастую связаны только друг с другом.

Дополнительную защиту от атаки Сивиллы могут обеспечить специализированные консенсусы, такие как Proof-of-Social-Capital (PoSC), которые определяют репутацию узлов на основе их вклада в экосистему.

Инструменты верификации (KYC, "знай своего клиента") могут стать альтернативный вариантом защиты от атак Сивиллы, но они противоречат принципам анонимности и децентрализации блокчейна, хотя при этом способны повысить доверие к участникам сети.

Однако существуют альтернативные решения идентификации, такие как токен-гейтинг. В случае токен-гейтинга доступ к управляющим функциям протокола предоставляется владельцам определенных цифровых активов, в том числе NFT. Это может стать барьером для злоумышленников, желающих провести атаку Сивиллы.