Прочее

Эйрдроп: виды, атаки и перспективы раздачи воздуха

Эксперт Bits.media Владимир Menaskop Попов систематизирует опыт эйрдропов на разных этапах развития криптомира, а также выводит базовые тенденции на ближайшие три-пять лет. Много полезных ссылок, кейсов и практических советов.

История раздачи воздуха

Если буквально перевести слово Airdrop, то выйдет: «Раздача по воздуху» (Google), «воздушное падение» (ChatGPT), «воздушная капля» (Deepl). Каждый уважающий себя крипто-энтузиаст давно знает, что это такое, но давайте вспомним, как оно появилось.

Нынешние поколения криптожителей (пришедшие в 2021-2023 годах) искренне считают, что первый airdrop был произведен Uniswap. Мне очень нравится гигант AMM-индустрии и то, что они делали до четвертой версии, но же спешу разочаровать тех, кто думает о них как о первопроходцах «воздушного десанта» (еще один частый перевод термина).

Эйрдроп в самом широком смысле зародился… при майнинге в сети Биткоина. Выполняешь некую полезную для сети работу (делая так называемые бесполезные вычисления) и тебе в итоге приходит награда за находку блока. Безусловно, схему примитизировал, но лишь потому, что не майнинг — предмет исследования сегодня.

Да и отправная точка в виде PoW-систем обычно мало кого устраивает (как, скажем, и то, что блокчейн сети — первые ДАО), поэтому попробуем порыть чуть глубже.

В том виде, в каком привыкли к эйрдропам — они появились как ответ на претензии Комиссии по ценным бумагам и биржам США (SEC) к криптопроектам: последние решили, что раз ICO — плохо (вот почему это не так), то, возможно, стоит попробовать просто раздать всем все и сразу?

Есть разные версии, кто был первым. Например, в марте 2014 года Исландия запустила свою Auroracoin в качестве эксперимента по потенциальной замене исландской кроны (и биткоинов). В ходе первой в истории раздачи криптоактивов каждый гражданин получил 31,8 AUR, затем — еще 318 и, наконец, еще 636 монет. Причиной этой и последующих раздач было создание первичного рынка и продвижение токена. С тех пор стратегия airdrop использовалась различными криптопроектами для повышения осведомленности, создания сообществ и, собственно, распространения токенов.

На таком подходе настаивает целый ряд авторов (см. здесь или здесь), но он популярен в связи с тем, что актором выступала целая страна. А сам AUR был довольно раскручен в СМИ, поэтому до сих пор на него делают отсылки.

В этом смысле иногда хорошо помнить что-то вне хайп-среды. Собственно, сами термины криптовалюта и блокчейн — не были созданы иначе как через СМИ. Поэтому попробуем зарыться в исследовании airdrops еще глубже очевидных фактов.

Если майнинг первой криптовалюты (да и последующих) не всем нравится как история эйрдропов, то сервисы-краны — ровно об этом: был и есть такой на Bits.media форуме. Подборку подобных сервисом мне посчастливилось делать в далеких 2012-2013 годах. Отличия с нынешними airdrops найти сложно: разве отметить, что краны работали перманентно и на не крупные суммы, но в остальном — механики точно схожи.

А ведь был еще и Ripple: собственно, они (вот кто именно) и раздавали XRP. Это вполне себе был airdrop. Как минимум, на год раньше, чем AUR.

Когда же появилась экосистема Эфира, а в ней — хайп ICO, — то эйрдроп стал стандартом: многие проекты брали популярные кошельки и направляли туда свои токены. Некоторые так делают до сих пор. Есть среди подобных довольно успешные: скажем, livepeer.

Но настоящую популярность airdrops получили после рождения так называемые ретроспективных эйрдропов, или ретродропов: одним из первых устроили как раз Uniswap. Как не трудно догадаться, между 2020-м и 2012-2014-м довольно много времени прошло, а поэтому утверждение о первичности эйрдропа Uniswap несостоятельно. Даже AD от Omise Go в 2017 году и то смотрится логичней.

Позже по этому пути шли 1inch, ShapeShift, Arbitrum и многие прочие. Есть даже целые сервисы (cryptorank, icodrops и другие), где можно следить за подобными начислениями с воздуха. Но попробуем взглянуть на процесс с другой стороны и выделить разные типы эйрдропов.

Зачем? В первую очередь, чтобы изучить их эволюцию, а, во вторую, чтобы осознать перспективы.

Виды эйрдропов. Классификация

В первую очередь все виды эйрдропов можно разделить на две неравные части: ad hoc и системные.
Первые были свойственны ранним временам криптоактивов, когда краны то появлялись, то исчезали, то вовсе не работали.
Сейчас ad hoc тоже случаются: например, если какой-то KoLs хочет привлечь внимание к тому/иному коину или токену, или ДАО вдруг решает перераспределить трежери.

Вторая значимая классификация как раз по времени:

  • эйрдропы, совершаемые в моменте;
  • перспективные;
  • ретроспективные;
  • итеративные;
  • иные.

Первая группа (в моменте) — дропы, которые раздаются, когда актив уже запущен. Как правило, для стимуляции комьюнити. Можно подобные сделать с помощью вот такого сервиса.

Перспективные — раздаются разными способами через:

  • wNFT, с таймлоком, до момента IDO, например;
  • начисление поинтов (весьма популярная механика на стыке 2023-2024);
  • прямую рассылку на контракт-локкер;
  • иные механики.

Этот список не закрыт. Почти каждый месяц появляются какие-то инновации, которые или совмещают предыдущие механики, или расширяют их, или даже полностью заменяют.

Ретроспективные дропы выплачиваются сейчас чаще всего, поскольку позволяют оценить активности в уже созданной сети, ДАО, конкретном dApp и типа того. Ниже попробую раскрыть базовые аспекты, подлежащие такой оценке.

Итеративные ретродропы совмещают в себе механики ретро- и перспективных, системных и ad hoc. Если не родоначальником, то самым известным популяризатором системы стало DAO Optimism, где OP начислялись за активности уже после первого дропа.

Отдельно выделил бы два важных типа airdrop:

  • без срока действия (бессрочные);
  • срочные.

Последние стали крайне популярны в последнее время, так как это еще один метод противостояния негативному аккаунтингу: и сводится к тому, что забрать дроп надо в определенное время в определенном месте.

Опять же, никто не мешает механики модернизировать и модифицировать. Но куда важнее разобраться: а за что же именно начислять дропы? Попробую ответить и на этот вопрос.

Основания начисления эйрдропов

Схем начисления — великое множество. Разберем несколько популярных примеров и даже объединим некоторые. В частности, рассмотрим: сети — Arbitrum, Optimism, Manta, ZetaChain; сервисы — ShapeShift, Uniswap, 1inch, Dymension, ENS.

Сети

Для начала — список описаний эйрдропов от самих проектов:

  • DAO Arbitrum;
  • DAO Optimism: первый, второй и третий;
  • ShapeShift;
  • Collab;
  • сюда можно добавить по вкусу: Aptos, ZetaChain (pre-claim), ZKFair и множество других проектов.

В Арбитруме, в частности, учитывались следующие активности (One & Nova):

  • переведены, через мост, средства в Arbitrum One;
  • были совершены транзакции в течение двух разных месяцев;
  • транзакции проводились в течение шести разных месяцев;
  • транзакции проводились в течение девяти месяцев;
  • было проведено более четырех транзакций или было совершено взаимодействие с более чем четырьмя различными смарт-контрактами;
  • проведены более 10 транзакций или было совершено взаимодействие с более чем 10 различными смарт-контрактами;
  • проведено более 25 транзакций или было взаимодействие с более чем 25 различными смарт-контрактами;
  • проведены более 100 транзакций или было совершено взаимодействие с более чем 100 различными смарт-контрактами;
  • проведены транзакции, превышающие в общей сумме $10000;
  • проведены транзакции, превышающие в общей сумме $50000;
  • проведены транзакции, превышающие в общей сумме $250000;
  • переведено более $10000 активов в Arbitrum One;
  • переведено более $50000 активов в Arbitrum One;
  • переведено более $250000 активов в Arbitrum One;
  • переведены средства в Arbitrum Nova (AN);
  • проведено более трех транзакций в AN;
  • проведено более пяти транзакций;
  • проведено более десяти транзакций.

Таким образом, если попробовать сразу обобщить, получим следующие критерии (для) оценки:

  1. Факт бриджевания.
  2. Количество транзакций.
  3. Количество взаимодействий со смартами.
  4. Объем транзакций (Volume).
  5. Объем вложенных средств (TVL).

Можно сказать еще проще: сетевая активность внутренняя и внешняя. Хотя именно разная структура и той, и другой — будет уникальна для каждого проекта (и в этом скоро убедимся).

В Optimism критерии были схожие:

  • Учитывались активности с бриджом, в том числе — на ранней стадии (до 23 июня 2021 года).
  • Все участники эйрдропа разделились на пользователей первичных и вторичных: первые — те, кто завел средства в L2, а вторые — те, кто пользовался средствами уже на уровне L2 (совершили по крайней мере одну транзакцию с приложением Optimism в течение четырех разных недель).
  • Стоит отдельно отметить, что активности бриджевания с Эфириума на другие сети, отличные от Optimism, тоже учитывались, среди них: Terra, BSC, Fantom, Avalanche, Solana, Polygon, Arbitrum, Metis, Boba.
  • Помимо этого учитывались активности в ДАО: голосование или предложения на Snapshot, отдельно происходил и учет делегирования голосов.
  • Интересным критерием является работа с мультисигом (Gnosis Safe) в период учета активностей.
  • Отдельная категория — доноры Gitcoin: сначала донаты делали пользователи, а потом — получали донаты уже за свои донаты от сети: такая вот рекурсивная взаимопомощь.
  • Также в этом эйрдропе был критерий учета потраченного газа (более $6,10).
  • Был введен мультипликатор: чем больше активностей ты совершал, тем больше становился так называемый коэффициент полезности.

Тут важно выделить: помимо сетевой активности учету подлежала активность в ДАО.

В аспекте уникальности подхода стоит рассмотреть эйрдроп от ZKFair, поскольку в отличие от ДАО-скандалов гигантов (Aragon, Uniswap, Arbitrum, etc) этот проект сразу встал на путь полного управления через комьюнити с раздачей 100% токенов.

На первом этапе пользователи получили 2,500 $ZKF за каждый $1 сожженого газа внутри zkFair (с пределом в $3M). После Gas Airdrop ZKFair расширился на большее количество пользователей: в частности, активные участники различных Layer 2-платформ, таких как Scroll, Polygon zkEVM, Linea, zkSync, стали получателями $ZKF.

И, надо сказать, проектов, оценивающих экосистемные затраты, становится все больше: в каком-то смысле это и Manta Pacific, и точно Dymension, и другие. В этом смысле децентрализация и сетевые эффекты оказались среди победителей: чем больше ты полезен Web 3.0 — тем больше пользы он возвращает тебе.

Важно отметить: если в перспективных airdrops первых эпох важнее были оффчейн-активности (переводы белых книг и сайтов, SMM, разного рода реферальные программы и тому подобное), то сейчас речь идет об ончейн-активностях в первую очередь, более того — об их сетевом эффекте: чем больше делаешь разного в сети, приложении, внутри сервиса, тем быстрее растут поинты.

Впрочем, аудитория подобная все еще невелика: от тысяч и десятков тысяч человек в большинстве случаев — до сотен тысяч в случае продвижения от гигантов навроде Consensys (смотри Linea).

Атаки

Первое, что нужно знать и запомнить, что атаки на эйрдропы бывают двух основных типов:

  1. На сами проекты.
  2. На пользователей.

Помня об этом, попробуем рассмотреть подвиды в каждом пункте. И да, если тема будет интересна и данная статья наберет хотя бы полторы тысячи просмотров, то обязательно напишу еще одну, более детальную, с рассказом о каждом способе. Пока же изучим предмет в общем.

Сибилла — страшное слово для эйрдпропа

Сибиллы в данном случае — ботофермы, мультиаккаунты и все прочее, что хочет оторвать себе жирный кусок от ценности (value) системы. Почитать об этом можно на примере Arbitrum: здесь и здесь. А я попробую коротко обозначить самые важные аспекты.

Всего было найдено 148 595 адресов Sybil. На их долю приходится около 253 млн токенов Arbitrum или 21,8% от общего количества, разосланных по эйрдропу. Самый простой способ выявить подобные атаки — использовать так называемый Лувенский метод (Wiki). Для примера можно изучить два отчета.

  • Первый.
  • Второй.

Для прямого противостояния сегодня используют разные подходы:

  • Самый простой и даже банальный — анализ IP, который сам по себе давно не помогает.
  • Анализ цифровых отпечатков устройств — куда более продвинутая технология. Но и ее можно обойти с помощью разного ПО даже без создания ботоферм из недорогих ноутбуков.
  • Одним из самых эффективных является метод анализа сетевой активности адресов: когда и как вы получили свой первый ETH (или иной коин/газ), какие транзакции совершали до и во время airdrop-активностей и тому подобное.
  • Также все чаще мелькают связки кошелька и крупных Web 2.0-сетей + мессенджеров: Twitter, Discord, Telegram — больше других (сюда стоит отнести и прямую связку кошелька с email, намного реже — с телефоном).
  • Отдельно стоит выделить усложнение уровня заданий: если когда-то баунти-кампании включали постинг, перевод текстов и тому подобное, то сейчас все чаще обращаются к деплою смарт-контрактов (ZetaChain, zkSync, Scroll и другие).

Еще один прекрасный разбор Sybil-атаки от ZetaChain: здесь.

Но, если «я знаю, что ты знаешь, что я знаю», то на любой снаряд найдется своя броня, а потому все способы защиты не идеальны даже в связке. Недаром тема — всегда обсуждаема (пример с DAO Arbitrum). К тому же всегда можно нанять школьников из разных стран и просто небогатых людей, которые за $1000 в месяц будут руками проходить квесты, а конечный получатель airdrop — лишь платить абонентскую плату. И не очень высокую. Таких и подобных сервисов — предостаточно:

  • bankless.com/airdrop-hunter;
  • airdropfactory.io;
  • earni.fi/login;
  • прочие.

Мой личный эксперимент (2021-2023 годы) заключался в использовании разных учетных записей Google, связанных с разными gmail-адресами, на которых были указаны разные же номера телефонов (и да, из разных стран). В итоге VPN плюс подобный мультиаккаунт сработал фактически везде. Хотя сил это, даже при должной автоматизации, требует немало: новые сети часто зависают и ошибки не понятны, а dApp и вовсе могут работать через раз. То есть это реально превратить в бизнес, но такой подход точно не годится предпринимателям и прочим инноваторам.

Возможно, когда-нибудь систематизирую этот опыт, а пока отмечу: куда более значимыми стоит признать атаки на пользователей, так как сами системы в итоге получают активных участников, пусть и с изъянами, а вот каждый конкретный нетсталкер может потерять на фишинге и других векторах нападения в буквальном смысле всё. Совсем всё.

Атаки на пользователей эйрдпропов

Как правило, все атаки просты и даже тривиальны:

  • Фишинг (email, соц. сети, мессенджеры).
  • DDoS и манипуляции курсом (спуфинг — в первую очередь).
  • Примитивный взлом аккаунтов (CEXs, соцсети).
  • Иные.

При этом именно централизованные сервисы (от бирж до email-клиентов) — являются главной проблемой и дырой в безопасности уже много лет к ряду.

Целевые, векторные атаки, как правило, проводятся редко и целью их становятся лишь крупные трейдеры, спекулянты, инвесторы, владельцы криптокомпаний. Примеры легко найти по ссылке.

Самое главное — это не сами векторы атаки и не их смена. А то, что кошельки эйрдроп-хантеров становятся публичными и рано или поздно за ними начинается охота: при этом, благодаря тому, что блокчейны все открыты, составить объединенную базу и выделить крупных держателей не так и сложно.

Поэтому возникает главный вопрос…

Так как себя защитить?

Что касается вышеперечисленных атак, то панацеи от них не существует. Но вот четыре простых совета, которые точно помогут избавиться от девяти из десяти нападений:

  1. Соблюдение цифровой гигиены: системный подход работает.
  2. Изучение работы систем: от самого блокчейна и смарт-контрактов, до ОС, которая стоит на пользовательском компьютере.
  3. Создание собственной системы противостояния перманентному нападению: подходов здесь тоже довольно много, но вкупе пункты 1-3 решают.
  4. И, конечно же, диверсификация на разных уровнях.

Все три ссылки выше — обязательны к прочтению. Но подраздел в статье выделил не зря: хочу добавить ряд важных моментов.

  • Не так давно официальные email-аккаунты Trust, De.fi, Wallet Connect, Trezor и ряд других подверглись взлому. Многие пользователи потеряли десятки и даже сотни тысяч долларов. Все по одной причине: когда Web 2.0-сервисы смешиваются с Web 3.0 — то выглядит это как дополнительный уровень защиты, но на самом деле это чаще дополнительный вектор атаки. Поэтому рекомендую использовать публичные email-адреса для общих контактов, а для сервисов — Web3-почту, скрытую от глаз.
  • И главное, стоит задуматься и понять: любые средства технической защиты, будь то антивирус для Windows или эмулятор транзакций в новых кошельках (навроде Rabby) — ничто не поможет, если нет единого подхода к самозащите как таковой.

Поэтому попробуйте оценить для себя следующий чек-лист. Если в нем нет всех совпадений, вернитесь к ссылкам выше.

  1. Вы знаете, как работает ваша ОС на уровне продвинутого пользователя.
  2. Вы не используете ломаное ПО и в целом понимаете мироустройство open source.
  3. Вы не применяете один Metamask/Rabby/etc для холодных и горячих кошельков.
  4. Вы знаете все фичи постоянно используемых кошельков (примеры первый и второй).
  5. Вы изучаете бюллетени безопасности и проверяете по поиску те сервисы, которые используете для обмена (swap/bridge/etc) криптоактивов.
  6. Вы знаете, как отозвать разрешения (аппрувы) и где смотреть подписи безгазовых метатранзакций.
  7. Вы имеете индивидуальный набор для web-сёрфинга.

Но это все — частности. Чего именно? Сейчас расскажу.

Немного о транзакционной репутации

Любые эирдропы — прямое подтверждение и следствие действия транзакционной репутации. Это важно, поскольку мы вступили в эпоху, когда SBTs, airdrops и другие векторы пересекаются.

А значит? Значит нас ждут новые и весьма интересные механики как рейтингования (количественные параметры), так и построения репутации (качественные параметры). Выделю несколько:

  1. Наслоение PoH (Proof-of-Humanity) на стандартные механики эйрдропа: можно посмотреть уже сегодня с помощью таких сервисов, как zkcodex.com.
  2. Развитие ZKP-идентификация, в том числе через совместимые экосистемы (к которым так стремятся L2 навроде Mantle, Base, Berachain, etc).
  3. Усложнение аккаунтинга за счет развития абстракции аккаунта и роста сопутствующих/смежных механик (как, скажем, NFT 2.0).

В любом случае, классические ретродропы не канут в Лету, как не ушли когда-то и краны (которые, например, повсеместно распространены в тестнетах): они просто займут свою нишу.

О перспективах

Давайте попробуем повторить сказанное выше, но выделив аспекты именно эволюции. Итак…

Видится, что SBT (soulbound tiokens; буквально — душесвязанные токены) — один из векторов развития эйрдропов. Но в целом повышение уровня именно транзакционной репутации — отличный вектор для самозащиты как сервисов, так и конечных пользователей.

Итеративные эйрдропы также показали себя еще не в полной мере, и опыт Optimism стоит признать положительным.

Отдельный вектор видится в экосистемных связках. Недаром так много L2-решений появляется с замкнутым циклом: Mantle, BeraChain, Base и другие. А также кроссчейн-историй: ZeroLayer, EYWA, ZettaChain, etc. Не говоря о том, что не стоит сбрасывать уровень интероперабельности, заложенный в EVM-чейнах, а также в таких решениях, как парачейны Polkadot, хабы Cosmos, сабчейны Avalanche и им подобные.

При этом не стоит забывать, что ZKP-механики — отличная находка и продолжение для любых блокчейн/DAG/прочих решений, просто обходятся пока слишком дорого. А значит? Значит совсем скоро, в течение двух-трех лет, увидим не только сервисы подобной идентификации, но и куда более сложных взаимодействий: в частности, где в этом есть первичная потребность (ниша Tornado Cash).

Конечно, не стоит забывать: проекты сами стали злоупотреблять эйрдропами (и не меньше, чем баунти-хантеры с сотнями аккаунтов). Поэтому вектор комьюнити-противостояния здесь явно высвечивается и будет эволюционировать, и весьма быстро.

Заключение и выводы

Пройдясь по истории и освоив классификацию, изучив примеры и оценив виды атак, осознав перспективы и трудности, стоит задать один, последний, вопрос: «а зачем это все?».

И вот такой вопрос слышал за последние десять лет крайне часто: «Если так все сложно, то зачем?..» Ответа не то, чтобы нет, просто ответ этот многим не нравится. Крайне.

И не нравится он потому, что Web 3.0 требует от каждого крайне сложной модернизации: перехода от потребителя к пользователю, который готов стать соучастником ДАО, строителем различных децентрализованных приложений и активным членом разношёрстных комьюнити.

Проще говоря, это требует смены парадигмы.

До!

Источник

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *