Sybil-мільйонери: як дропхантери абузять проєкти та ловлять удачу

Полювання за безплатними грошима

DeFi-проєкти використовують безплатну роздачу токенів лояльним учасникам спільноти, як спосіб привернути увагу нових користувачів і підвищити активність у мережі. Дропи допомагають стимулювати надання ліквідності для DEX, взаємодію зі смарт-контрактами та інші типи транзакцій.

Докладніше, що таке Airdrop і навіщо проєкти взагалі проводять безплатні роздачі токенів, можна дізнатися в нашій оглядовій статті про дропи.

Під час airdrops, команди прагнуть розподілити токени між активними користувачами й відсіяти гаманці, створені напередодні роздачі, власники яких намагаються вихопити токени, не маючи реальної зацікавленості в проєкті. Це необхідно, щоб запобігти масовому зливу токенів і дампу ціни

Своєю чергою Sybil-експолойтери намагаються обдурити систему, імітуючи здорову он-чейн активність на кількох акаунтах, за якими стоїть одна людина або команда. Як наслідок, організація дропів перетворюється на гру «вдар крота» і проєкти в ній явно програють.

Так, під час останнього дропу від Arbitrum, дропхантери, які контролюють кілька адрес за деякими даними отримали 48% від загальної кількості розданих токенів.

Sybil-мільйонери

Але повернімось до Іллі. Останні 6 років криптовалютні спекуляції були його основним заняттям: «я потрапив сюди наприкінці 2016-го, як краз перед ICO-бумом» — каже Ілля. До цього він володів невеликим бізнесом в Україні й торгував зерном, потім перейшов в онлайн-маркетинг, але саме крипта стала його геймчейнджером після того, як інвестиції в кілька ICO принесли десятикратний прибуток.

Коли ICO зійшли зі сцени, на заміну їм прийшли IEO, потім у 2020-му стався DeFi-бум, потім NFT-лихоманка. Якщо ви можете визначити наступний тренд, каже Ілля, то, по суті, отримуєте доступ до безоплатної роздачі грошей, і дропи — це якраз останній гарячий тренд.

Ігор Перція, засновник венчурного фонду Hypra, зазначає, що дропи — безпечніший з юридичної точки зору спосіб розподілу токенів, ніж ICO. При цьому на відміну від ICO, багато з яких були по суті пірамідами. Про дропи намагаються говорити якомога менше, оскільки всі розуміють, що чим більше буде учасників, тим менше токенів отримає кожен.

Особливо щасливі дропхантери можуть отримати кілька мільйонів доларів з однієї роздачі, експлуатуючи великі та відомі проєкти на кшталт Ethereum Name Service (ENS), Sui, Aptos та інші. «Я знаю людей, які заробили $1-2 млн на одному тільки дропі Arbitrum», — каже Перція.

І це не перебільшення. Он-чейн дослідники знайшли кілька гаманців, які акумулювали токенів $ARB більш ніж на $1 млн. Ці токени вони отримали з низки інших адрес і є підстави вважати, що за всіма ними стоїть одна людина. Щоправда пізніше виявилося, що в деяких випадках це були гаманці фішинг-скамерів, які дрейнили адреси своїх численних жертв. Іноді мультиаккери задовольняються і більш скромними загальними сумами. Так, дослідникам вдалося виявити 198 адрес, які отримали активи з низки інших гаманців, одразу після того, як було зроблено знімок балансів і затверджено список адрес, допущених до участі в дропі.

Дропханінг — не ракетобудування

Ілля каже, що не був одним із тих мільйонерів Arbitrum: кілька його акаунтів було марковано як Sybil і відсіяно, але 5 адрес усе таки допустили до дропу і сукупно вони принесли 20,000 $ARB. Майже вдвічі більше, ніж максимальна сума, яку можуть отримати супер-активний і лояльний користувач (10,250 $ARB).

Усі отримані токени Ілля зміг продати по $1.4, отримавши прибуток, який багаторазово перевищував його витрати.

На підтримку одного якісного облікового запису на місяць йде близько $50 на комісію, водночас загальний профіт Іллі склав ~$28 тис. Навіть з урахуванням відсіяних акаунтів співвідношення між вкладеннями і доходом може оцінюватися сотнями іксів.

За його словами, за один вечір реально створити до 10 якісних гаманців. І це «не ракетобудування», а звичайна повсякденна робота. Підтримувати активність на цих адресах просто, настільки, що навіть учень старших класів може претендувати на дроп. «Я знаю хлопців, яким навіть немає 18 і в них по 150 акаунтів. Один із них нещодавно заробив $500 тис. на дропах» — додає Ілля.

Перція зі свого боку вказує, що 20-ти річні пропустили ICO-бум і тепер з’явилася нова хвиля молодих і голодних.

Сам Ілля працює з помічником, який бере участь в управлінні акаунтами за зарплату і відсоток від дропу, але знає людину, яка отримала 200,000 $ARB на кілька тисяч гаманців. У нього була ціла команда, кожен член якої керував 500 адресами.

Постійний ризик

Здебільшого про дропи не повідомляють заздалегідь, тому дропхантери проявляють активність одразу в кількох багатообіцяючих проєктах. Як їх визначити? Ілля вважає, що ключовими критеріями є:

• популярність;
• великі інвестиції;
• відомі розробники;
• хайп навколо проєкту і його потрапляння в тренд.

На його думку, найперспективнішими зараз є zksync, StarkNet і LayerZero, а також усе, що пов’язано з масштабованістю Ethereum.

В очікуванні дропу, дропхантери також ризикують втратити всі вкладені кошти в разі злому протоколу. За даними Chainalysis саме DeFi-протоколи найчастіше страждають від хакерських атак, і у 2022-му через зломи різні сервісів втратили близько $2 млрд. Особливо вразливими виявилися крос-чейн мости.

«Люди надають ліквідність у надії на дроп, а потім цей міст просто зламують, і хакер іде з вашими $5 тис.» — каже Ілля. Він додає, що сам не страждав від таких зломів, але в його знайомих було $10 тис. у нещодавно зламаному протоколі Euler Finance. Добре, що в цьому випадку зловмисник погодився повернути вкрадені кошти.

Полювання на мисливців

Алекс Момот — CEO стартапу Peanut Trade, каже, що його команда уважно відстежує Sybil-атаки під час дропів. Одним із сервісів, що надаються Peanut, якраз є допомога в захисті від абузу і мультиаккінгу під час роздачі токенів.

За його словами, зазвичай стратегія дропхантерів проста: зробити мінімально необхідну для участі в дропі кількість транзакцій з найменшою можливою кількістю токенів.

Крім того, дропхантери часто поповнюють свої гаманці через централізовані біржі, адже CEX роблять переказ зі свого гарячого гаманця, де акумулюються кошти всіх користувачів, тож неможливо відстежити, хто конкретно провів транзакцію. Це ускладнює ідентифікацію адрес, які отримують транзакції з одного спільного гаманця і, очевидно, належать одній людині.

Однак способи відсіяти дропхантерів все ж таки існують, наприклад, проєкти можуть не допускати до участі акаунти, які мінімально відповідають встановленим критеріям.

Момот каже, що, з одного боку, дропхантери все одно привертають увагу до проєкту і створюють тягу, але з іншого — вони підривають головну мету проведення дропу — побудувати справді сильне ком’юніті й дати потужний імпульс. Але найгірше в тому, що проєкти втрачають мільйони доларів капіталізації після виходу на ринок, оскільки дропхантери одразу ж продають усі отримані токени.

Заключення

Airdrops з’явилися як ефективний спосіб формування лояльної аудиторії та юридично безпечний метод розподілу токенів. Це один із найприбутковіших видів діяльності на крипторинку, який привертає увагу не тільки зацікавлених у проєкті користувачів, а й професійних дропхантерів.

Ці люди створюють кілька десятків або навіть кілька тисяч акаунтів, проводячи Sybil-атаки на проєкти й отримуючи через дроп величезну кількість токенів. При цьому дроп-хантинг — «не ракетобудування» і не вимагає великих вкладень, як, наприклад, участь в IDO, тому доступний навіть школярам.

Проєкти зі свого боку шукають методи захисту від Sybil-атак, щоб мінімізувати участь дропхантерів і ціновий дамп. Утім, поки що вони відстають у цій грі.