מניעת מתקפות סיביל בתשתיות רשתות פיזיות מבוזרות

האיום הגובר של מתקפות סיביל (Sybil) ברשתות DePIN

תהיתם פעם מדוע פרויקטים מסוימים בתחום תשתיות פיזיות מבוזרות (DePIN) מתהדרים במיליוני "משתמשים", בעוד שבפועל כמעט אף אחד לא משתמש בשירות? ברוב המקרים, הסיבה היא אדם אחד שיושב במרתף ומריץ 5,000 צמתים (Nodes) וירטואליים על שרת יחיד, במטרה לשאוב תגמולים שיועדו למפעילי חומרה אמיתיים. זוהי בעיה קריטית עבור רשתות כמו Helium, הבונה כיסוי אלחוטי מבוזר, או DIMO, האוספת נתוני רכב. אם הרשתות הללו לא יכולות להוכיח שהצמתים שלהן אמיתיים, הנתונים שהן מוכרות הופכים לחסרי ערך.

בפשטות, מדובר בהונאת זהות בקנה מידה עצום. תוקף בודד מייצר הררי חשבונות מזויפים כדי להשיג השפעה מכרעת או כדי "לחלוב" תמריצי טוקנים (Token Farming). על פי SquirrelVPN, מתקפות אלו מייצגות כשל יסודי ביושרת הנתונים, מה שעלול להפוך מודלים עסקיים של מיליארדי דולרים ללא רלוונטיים. אם הנתונים המוזרמים לרשת מיוצרים על ידי סקריפט, המערכת כולה קורסת. מאחר שקל כל כך להשתמש בזיוף מבוסס תוכנה כדי להתחזות לאלפי מכשירים שונים, אדם אחד יכול לסמלץ עיר שלמה של צמתים מתוך מחשב נייד בודד.

ההשפעה של פעילות סיביל משתנה בין התעשיות, אך התוצאה תמיד זהה: אובדן האמון.

• בריאות ומחקר: אם מאגר נתונים רפואי מבוזר מוצף בנתוני חולים סינתטיים מקבוצת צמתי סיביל, ניסויים קליניים הופכים למסוכנים וחסרי תועלת.
• קמעונאות ושרשרת אספקה: בוטים יכולים לזייף נתוני מיקום עבור 10,000 צמתי "משלוח", ולגנוב תמריצים המיועדים לנהגים אמיתיים בשטח.
• פיננסים והצבעות: במערכות ממשל מבוזרות (Governance), תוקף סיביל יכול לצבור כוח לא פרופורציונלי ולהכריע תוצאות של הצעות לשיפור הרשת.

דוח של ChainScore Labs משנת 2023 ציין כי איסוף נתונים ללא בקרה עלול להכיל למעלה מ-30% רשומות סינתטיות, מה שמהווה "סחרור מוות" לאמון ברשת. (מדוע פרטיות אמיתית דורשת את שבירת שרשרת הקישוריות) (דוח פשיעת קריפטו 2023: הונאות)

כשאתם משתמשים ב-VPN מבוזר (dVPN), אתם חייבים לסמוך על כך שהצומת שדרכו עובר המידע שלכם הוא חיבור ביתי של אדם אמיתי. אם תוקף מקים 1,000 צמתים על מופע AWS בודד, הוא יכול לבצע בדיקת חבילות עמוקה (DPI) בקנה מידה רחב. זו אינה תיאוריה בלבד; כפי שצוין ב-world.org, רשת Monero התמודדה עם מתקפה בשנת 2020 שבה שחקן סיביל ניסה לקשר כתובות IP לנתוני עסקאות. (Monero הותקפה במתקפת סיביל - CoinGeek)

מפעילי צמתים אמיתיים נוטשים את הרשת כשהיא מפסיקה להיות רווחית בגלל הבוטים הללו. בהמשך, נבחן כיצד אנו משתמשים בהפקדות כספיות (Staking) ובחסמים כלכליים כדי להפוך את התקיפה על הרשת ליקרה מדי ולא משתלמת.

חומרה כשורש האמון האולטימטיבי

אם אי פעם ניסיתם לכתוב סקריפט לבוט שיבצע "גירוד" נתונים (Scraping) מאתר, אתם יודעים כמה קל לייצר אלפי זהויות מזויפות בלולאת קוד פשוטה. בעולם ה-DePIN (רשתות תשתית פיזית מבוזרות), אנחנו משנים את חוקי המשחק: כדי לתקוף את הרשת, תוקף כבר לא יכול להסתפק בסקריפט פייתון פשוט – הוא חייב לצאת לשטח ולרכוש חומרה פיזית ממשית.

רוב הפרויקטים המודרניים זונחים את מודל ה-"הבא את הלפטופ שלך" לטובת שורש אמון מבוסס חומרה (Hardware Root of Trust). על ידי שימוש בציוד ייעודי הכולל סביבות ביצוע מהימנות (TEEs), הרשת מקבלת מעין "קופסה שחורה" בתוך המעבד. זה מאפשר "אישור קריפטוגרפי" (Attestation), שבו הצומת מוכיח שהוא מריץ את הקוד הנכון והמקורי מבלי שבוצע בו שינוי.

• Helium ו-DIMO: רשתות אלו משתמשות ברכיבי אבטחה (Secure Elements) בתוך מכשירי הכרייה או דונגלים לרכב. לכל מכשיר יש מפתח ייחודי שנצרב בסיליקון כבר במפעל, כך שאי אפשר פשוט להעתיק ולהדביק זהות של צומת.
• מעקב אחר פרוטוקולים: פלטפורמות כמו squirrelvpn עוקבות מקרוב אחר התפתחות הפרוטוקולים הללו, כדי שמשתמשים יוכלו למצוא צמתים המגובים בחומרה ומספקים רמת אבטחה גבוהה.
• מכפיל עלות: המעבר לציוד פיזי יכול להעלות את העלות של "מתקפת סיביל" (Sybil Attack) ביותר מפי 100. מחקר מ-2023 בשם The Cost of Sybils, Credible Commitments, and False-Name Proof ... מסביר כי חיוב התוקף לפרוס ערכות פיזיות בשטח הוא הדרך היחידה לגרום למשוואה הכלכלית להפסיק להשתלם עבורו.

אנחנו עדים גם למעבר לשימוש ב-Machine DIDs (מזהים מבוזרים למכונות). תחשבו על זה כעל מספר סידורי קבוע על גבי הבלוקצ'יין עבור הנתב או החיישן שלכם. מכיוון שהמפתחות הפרטיים נשארים נעולים בתוך רכיב האבטחה, תוקף לא יכול לשכפל את הזהות לחוות שרתים מהירה יותר.

בסופו של דבר, המטרה היא להפוך את ניסיון ההונאה ליקר מדי. אם זיוף של 1,000 צמתים דורש רכישה של 1,000 קופסאות פיזיות, אסטרטגיית "חוות השרתים במרתף" פשוט קורסת. בהמשך, נבחן כיצד ניתן לזהות את אותם צמתים וירטואליים מעטים שעדיין מנסים להסתנן, על ידי דרישה להפקדת ערבויות כספיות.

הגנות קריפטו-כלכליות ומנגנוני סטייקינג (Staking)

אם איננו יכולים לסמוך על החומרה לבדה, עלינו להפוך את ניסיונות ההונאה ליקרים במיוחד עבור התוקף. זהו למעשה כלל ה"ערבון האישי" של העולם הדיגיטלי – אם אתה רוצה להרוויח מהרשת, אתה חייב להוכיח שיש לך מה להפסיד.

ברשת רוחב פס עמית-לעמית (P2P), בעלות על הציוד הפיזי אינה מספיקה, שכן תוקף עדיין עלול לנסות לדווח על נתוני תעבורה מזויפים. כדי למנוע זאת, רוב פרוטוקולי ה-DePIN (תשתית פיזית מבוזרת) דורשים "סטייקינג" – נעילת כמות מסוימת של אסימוני הרשת (Tokens) כתנאי מקדים לניתוב חבילת המידע הראשונה. פעולה זו יוצרת הרתעה כלכלית; אם מנגנון הביקורת של הרשת מזהה שצומת (Node) מפיל חבילות מידע או מזייף נתוני תפוקה, הפיקדון שלו עובר "סלאשינג" (Slashing) – כלומר, הוא מוחרם לצמיתות.

• עקומת ההתחייבות (Bonding Curve): צמתים חדשים עשויים להתחיל עם פיקדון קטן יותר, אך הם ירוויחו פחות. ככל שהם מוכיחים אמינות לאורך זמן, הם יכולים "להצמיד" (Bond) יותר אסימונים כדי לפתוח דרגות תגמול גבוהות יותר.
• מחסום כלכלי: על ידי קביעת רף מינימלי לסטייקינג, הרשת מבטיחה שהקמת 10,000 צמתי dVPN מזויפים תדרוש הון של מיליוני דולרים, ולא רק סקריפט מתוחכם.
• לוגיקת הסלאשינג: הענישה אינה מופעלת רק בשל חוסר זמינות (Offline). סלאשינג מופעל בדרך כלל כאשר יש הוכחה לכוונת זדון, כגון כותרות (Headers) ששונו או דיווחי שיהוי (Latency) לא עקביים.

כדי להימנע ממערכת של "שלם כדי לנצח" (Pay-to-Win), שבה רק "לווייתנים" עשירים מפעילים צמתים, אנו משתמשים במנגנוני מוניטין. חשבו על זה כעל דירוג אשראי עבור הנתב שלכם. צומת שמספק מנהרות (Tunnels) נקיות ומהירות במשך חצי שנה נחשב לאמין יותר מאשר צומת חדש לגמרי עם פיקדון ענק. לפי Hacken, מערכות היררכיות שבהן לצמתים ותיקים יש יותר כוח יכולות לנטרל ביעילות זהויות סיביל (Sybil) חדשות לפני שהן מספיקות לגרום נזק.

בנוסף, אנו עדים ליותר פרויקטים המשלבים הוכחות באפס ידיעה (ZKPs) בתחום זה. צומת יכול להוכיח שהוא טיפל בכמות מסוימת של תעבורה מוצפנת מבלי לחשוף את התוכן הממשי של חבילות המידע. זה שומר על פרטיות המשתמשים ובו בזמן מספק לרשת "קבלת עבודה" הניתנת לאימות.

האמת היא שאיזון החסמים הללו הוא משימה מורכבת – אם הפיקדון גבוה מדי, אנשים מן השורה לא יוכלו להצטרף; אם הוא נמוך מדי, התוקפים ינצחו. בשלב הבא, נבחן כיצד אנו משתמשים בחישובי מיקום כדי לוודא שהצמתים הללו אכן נמצאים היכן שהם טוענים שהם.

הוכחת מיקום ואימות מרחבי

ניסיתם פעם לזייף את ה-GPS שלכם כדי לתפוס פוקימון נדיר מהספה בסלון? זה טריק נחמד, עד שמבינים שאותו "האק" של סנטים בודדים הוא בדיוק הדרך שבה תוקפים מחריבים כיום רשתות תשתית פיזית מבוזרת (DePIN) על ידי זיוף המיקום הפיזי שלהם לצורך "כריית" תגמולים במרמה.

רוב המכשירים מסתמכים על אותות לוויין (GNSS) בסיסיים, שבינינו, קל מאוד לזייף באמצעות רדיו מוגדר תוכנה (SDR) זול. אם צומת ברשת VPN מבוזרת (dVPN) טוען שהוא נמצא באזור בעל ביקוש גבוה כמו טורקיה או סין כדי לעקוף חומות אש מקומיות, בעוד שבפועל הוא יושב בחוות שרתים בווירג'יניה, כל ההבטחה של "עמידות בפני צנזורה" פשוט קורסת.

• זיוף (Spoofing) קל: כפי שציינתי קודם, ערכות תוכנה מסוגלות לסמלץ צומת "בתנועה" לאורך עיר שלמה, ובכך להוליך שולל את הרשת כדי שתשלם בונוסים אזוריים.
• יושרת צומת היציאה (Exit Node): כאשר מיקומו של צומת מזויף, לרוב הוא חלק ממתקפת סיביל (Sybil) שנועדה ליירט נתונים; אתם חושבים שנקודת היציאה שלכם היא בלונדון, אבל בפועל התעבורה שלכם מתועדת בחוות שרתים זדונית.
• אימות שכנים: פרוטוקולים מתקדמים משתמשים כיום בשיטת "עדות" (Witnessing), שבה צמתים סמוכים מדווחים על עוצמת האות (RSSI) של עמיתיהם כדי לבצע טריאנגולציה (איכון) של המיקום האמיתי.

כדי להילחם בתופעה, אנחנו עוברים למה שאני מכנה "הוכחת פיזיקה" (Proof-of-Physics). אנחנו לא רק שואלים את המכשיר איפה הוא נמצא; אנחנו מאתגרים אותו להוכיח את המרחק שלו באמצעות השהיית אות (Latency).

• זמן טיסה של גלי רדיו (RF Time-of-Flight): על ידי מדידה מדויקת של הזמן שלוקח לחבילת רדיו לעבור בין שתי נקודות, הרשת יכולה לחשב מרחק בדיוק של פחות ממטר – רמת דיוק שתוכנה פשוט לא יכולה לזייף.
• יומנים חסיני שינוי: כל דיווח מיקום (Check-in) עובר גיבוב (Hashing) לרצף חסין זיופים על הבלוקצ'יין. זה הופך את ה"טלפורטציה" של צומת על פני המפה לבלתי אפשרית מבלי להפעיל מנגנון קנסות (Slashing).

למען האמת, ללא הבדיקות המרחביות האלו, אתם פשוט בונים ענן ריכוזי עם כמה שלבים מיותרים בדרך. בהמשך, נבחן כיצד אנחנו קושרים את כל השכבות הטכניות הללו למסגרת אבטחה סופית אחת.

העתיד של עמידות בפני מתקפות סיביל באינטרנט מבוזר

אז לאן כל זה מוביל אותנו? אם לא נפתור את בעיית ה"אמת", האינטרנט המבוזר יהיה לא יותר מאשר דרך מתוחכמת לשלם על נתונים מזויפים מבוטים בחוות שרתים. המטרה היא להפוך את "שוק האמת" לרווחי יותר מאשר שוק השקרים.

אנו נעים לעבר אימות אוטומטי שאינו זקוק למתווך אנושי. שינוי משמעותי אחד הוא השימוש בלמידת מכונה באפס ידיעה (zkML) כדי לזהות הונאות. במקום שמנהל מערכת יחסום חשבונות באופן ידני, מודל בינה מלאכותית מנתח את תזמון החבילות ומטא-דאטה של אותות כדי להוכיח שצומת (Node) מתנהג בצורה "אנושית", וכל זאת מבלי להיחשף למידע הפרטי שלכם.

• אימות ברמת השירות: חלופות מבוזרות לספקי אינטרנט (ISPs) ישתמשו בעתיד באתגרים קריפטוגרפיים זעירים ורקורסיביים. מדובר למעשה במבחני "הוכחת רוחב פס" (Proof-of-Bandwidth), שבהם הצומת חייב לפתור חידה הדורשת העברה פיזית של נתונים דרך החומרה שלו, מה שהופך זיוף של קצב תעבורה באמצעות סקריפט לבלתי אפשרי.
• ניידות מוניטין: דמיינו שציון האמינות שצברתם ברשת VPN מבוזרת (dVPN) עובר איתכם לרשת אנרגיה מבוזרת. זה הופך את "מחיר ההתנהגות הפסולה" לגבוה מדי, מכיוון שמתקפת סיביל אחת עלולה להרוס את כל הזהות שלכם בעולם ה-Web3.

בסופו של דבר, VPN מבוזר יהיה בטוח יותר מ-VPN תאגידי, פשוט כי האבטחה מוטמעת בתוך חוקי הפיזיקה ולא בדף "תנאי שימוש" משפטי. על ידי שילוב של "שורשי אמון" (Roots of Trust) בחומרה פיזית, תמריצים כלכליים שמענישים רמאים ואימות מיקום שאינו ניתן לזיוף, אנו יוצרים הגנה רב-שכבתית. ככל שהטכנולוגיה תבשיל, זיוף של צומת יעלה בסופו של דבר יותר מאשר פשוט רכישת רוחב הפס. כך נבנה אינטרנט חופשי באמת, שגם באמת עובד.