游乐游手机版
首页/web3.0/文章详情

Arbitrum空投漏洞:女巫地址狂揽21%代币

时间:2025-07-25 22:00
Arbitrum空投分析揭示女巫攻击漏洞,项目方策略存在局限性。X-explore识别出超过27万个关联地址和近15万个女巫地址,他们利用平台、跨链桥等逃避检测,共获利超过2 53亿个token。Arbitrum的女巫识别规则未能有效防范小规模、利用平台或跨链桥、快照后归集以及其他链上的女巫行为,女

Arbitrum 空投分析:女巫攻击与防范漏洞

作者:X-explore

免费的交易所推荐:

编辑:Colin Wu

本文由 X-explore 和吴说区块链联合发布。

Arbitrum 备受期待的空投终于揭晓,随之而来的是项目方公布的女巫地址审查规则。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第1张图片-本站

根据已公开的规则,我们可以推断出 Arbitrum 项目方在女巫检测时采取了以下策略:

  1. 排除范围: 将跨链桥、中心化平台和智能合约排除在女巫地址之外。
  2. 宽容策略: 对小规模和相同个人地址采取相对宽松的检测方式。
  3. 数据范围: 仅使用快照(2023 年 2 月 6 日)之前的数据进行女巫检测。
  4. 链上数据: 只使用 Arbitrum 和 Ethereum 的数据,忽略了其他 Ethereum Layer 2 网络的数据,例如 Optimism 和 Polygon。

然而,这些规则也暴露出了一些潜在的漏洞。在空投活动中,一些团体经常大规模地利用平台进行资金存取,这使得他们能够逃避 Arbitrum 的女巫检测。

通过 X-explore 内部的女巫地址识别模型,我们成功识别出超过 279,328 个关联地址和 148,595 个女巫地址,这些地址都获得了空投。

关联地址

关联地址指的是由同一个实体控制的地址。通过对所有 624,136 个获得空投的 EOA 地址组成的子图运行 Louvain 社区检测算法,我们发现共有 279,328 个地址形成了 60,000 多个社区。由于同一社区的个人地址有频繁的资金转移,因此被视为关联地址。他们约占 Arbitrum 空投 token 总量的 47.96%。

下图展示了关联地址组规模及其对应的地址数量分布:

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第2张图片-本站

下图展示了关联地址组大小及其相应的可领取 token 的分布情况(单位:token):

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第3张图片-本站

女巫地址

我们进一步检查了这些关联地址,并建立了最严格的筛选标准来识别其中的女巫地址。共有 148,595 个女巫地址收到空投,约占空投 token 总数的 21.8%。女巫地址的构成来自两部分:

  1. 有大量关联地址的社区
  2. 以太坊上的 X-explore 和多个以太坊 L2(Arbitrum、Optimism 等)识别的高可信度的女巫地址

为了对抗女巫检测,一些团队使用跨链桥、中心化平台和智能合约来防止大量地址之间的直接连接,并使每个地址尽可能独立以逃避女巫检测。在 Arbitrum 的女巫剔除中,项目方还删除了实体地址,如跨链桥、平台和智能合约。根据我们的分析,一些团队成功反击了检测规则,大量的地址收到了这次空投。

案例分析

以下是一些具体的案例,展示了女巫地址如何利用漏洞获取空投:

案例 1:平台女巫

这是一个超过 250 个地址的平台女巫示例。

  1. 2022 年 8 月 24 日至 8 月 28 日期间,共有 2997 个收到空投的地址从某平台提取资金。提款金额非常一致,在 0.00114 和 0.00116 ETH 之间(约 2 美元)。这些地址共收到 183 万个空投 token。
  2. 在 2022 年 6 月 3 日和 6 月 4 日之间,共有 1001 个收到空投的地址从某平台提取资金。提款金额非常一致,在 0.0022 和 0.0023 ETH 之间(约 4 美元)。这些地址共收到 104 万个空投 token。
  3. 2022 年 11 月 27 日至 11 月 30 日期间,共有 645 个收到空投的地址从某平台提取资金。提款金额非常一致,为 0.05 ETH(约 9 美元)。这些地址共收到 70 万个空投 token。
  4. 在 2022 年 10 月 29 日至 11 月 1 日期间,共有 1035 个收到空投的地址从某平台提取资金。提款金额非常一致,为 0.003 ETH(约 5 美元)。这些地址共收到 98 万个空投 token。
  5. 2023 年 2 月 6 日,294 个收到空投的地址从某平台提取资金。提款金额非常一致,为 0.0008 ETH(约 1.5 美元)。这些地址共收到 29.1 万个空投 token。
  6. 2022 年 12 月 12 日,273 个收到空投的地址从某平台提取资金。提款金额非常一致,为 0.0095 ETH(约 17 美元)。这些地址共收到 24.2 万个空投 token。
  7. 2022 年 8 月 19 日,261 个收到空投的地址从某平台提取了资金。而且提取的资金数额非常一致,为 0.003 ETH(约 5 美元)。这些地址共收到 18.9 万个 token。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第4张图片-本站

我们进一步取出了这些从某平台提币的女巫地址。除了资金数量一致外,它们还有非常一致的智能合约调用。

注:图中的节点表示地址,边表示地址之间的交互。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第5张图片-本站

案例 2:跨链桥女巫

  1. 在 2022 年 11 月 02 日至 11 月 07 日期间,共有 1114 个接收空投的地址通过 HOP 桥跨链到 Arbitrum。存款金额非常一致,这些地址总共收到了 108 万个 token。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第6张图片-本站

案例 3:智能合约女巫

地址 0x922008a118feff7fb017ee67eb3b02371e559999 通过 Disperse 合约将资金存入 1,274 个空投地址。存款金额非常一致,为 0.0005 ETH(约 8 美元)。这些地址共收到 105.9 万个 token。

类似的,通过 Disperse 合约(一个地址将资金存入 50 个不同的空投地址)避免直接连接的女巫地址数量为 9483 个。这些地址总共收到了 1098 万个 token。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第7张图片-本站

案例 4:快照后的女巫资金归集

我们从这种类型的女巫中选择了一个有代表性的例子。示例女巫总共有 198 个地址,并获得了 174,375 个 token。虽然这些地址具有明显的归集行为,但由于收集行为发生在快照之后,因此没有将它们排除在空投地址之外。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第8张图片-本站

案例 5:其他链上的女巫(Optimism)

我们已经选择了一个代表这种女巫的例子。示例女巫总共包含 202 个地址,并获得了 204,250 个 token。这些地址在 Arb 上也有非常相似的交易记录,但交易金额和时间略有不同,所以他们没有被识别为女巫。然而,他们在 OP 上也有相同的交易记录。值得一提的是,X-explore不仅可以在 Arbitrum 上识别女巫地址,还支持以太坊、Optimism 等以太坊 L2。

Arbitrum空投研究:存在四大漏洞,女巫地址获利超21%空投代币-第9张图片-本站

通过以上分析,我们可以推断,Arbitrum 制定的规则并没有有效地防止以下四种类型的女巫:

  • 地址少于 20 个的女巫
  • 通过平台、跨链桥接、智能合约进行资金存取的女巫
  • 快照后具有明显的 NFT 或资金归集行为的女巫
  • 在其他链上具有明显批处理行为的女巫,如 OP、以太坊

智能合约接收空投

当我们调查女巫时,我们还发现了一些有趣的例子。此次 ARB 空投的获胜者不仅是 EOA(即普通地址),而且一些合约地址也收到了空投。共有 1007 个合约地址收到空投,收到的 ARB token 总数约为 100 万个。

总结

女巫识别一直是项目方面临的挑战。项目方一方面需要空投来支撑项目的热度,另一方面又要承担女巫获利的风险以及女巫套现后市场暴跌的风险。根据 X-explore 的估计,空投中包含约 15 万个女巫地址和至少 4000 个女巫社区,女巫地址的总利润超过 2.53 亿个 token。

此外据 @BitcoinEmber 统计,一些工作室正从有空投资格的大量地址领取并归集 $ARB。

友情提示: 数字货币投资具有风险,请谨慎参与。

来源:https://www.listno1.com/post/32338.html
上一篇Pi币交易所何时上线?最新交易指南 下一篇MKR币详解:DeFi革命的核心
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
LayerZero曝光Kelp漏洞致Aave面临巨额损失风险
web3.0 · 2026-07-05

LayerZero曝光Kelp漏洞致Aave面临巨额损失风险

此次KelpDAO因单一DVN配置漏洞,遭黑客盗取11 65万枚rsETH(价值2 9亿美元),并存入Aave平台借出2 36亿美元ETH,导致Aave协议面临巨额坏账风险。随后LayerZero指出,该漏洞源于Kelp的单点验证配置,而非协议自身问题。目前市场焦点在于损失最终由谁承担。

GLCH币购买指南与投资价值全面介绍
web3.0 · 2026-07-05

GLCH币购买指南与投资价值全面介绍

GLCH币:一个专为DeFi而生的潜力协议 在当前的加密货币领域,GLCH币或许还不是一个家喻户晓的名字,但它所依托的Glitch Protocol,却展现出一个清晰且专注的愿景:构建一个去中心化的货币市场和金融应用操作系统。简单来说,GLCH就是这个协议的原生“燃料”和治理代币。它的总供应量设定为

LayerZero空投重磅来袭 今晚开放8500万枚ZRO申领
web3.0 · 2026-07-05

LayerZero空投重磅来袭 今晚开放8500万枚ZRO申领

LayerZero基金会宣布ZRO空投于今晚开放申领,首批发放8500万枚,占总供应量8 5%。总供应10亿枚,38 3%预留用户及社群,未领取代币将重新分配给已申领用户。

Meme季回归三大信号齐发 12月加密市场或掀狂潮
web3.0 · 2026-07-05

Meme季回归三大信号齐发 12月加密市场或掀狂潮

12月加密市场三大信号:Meme赛道率先走强,资金提前布局;市值占比横盘筑底,抛压耗尽;RSI出现牛市背离。三者指向Meme或再引爆行情,成为市场情绪提前指标。

Plasma热潮再起?速览近期3大热门打新项目
web3.0 · 2026-07-05

Plasma热潮再起?速览近期3大热门打新项目

近期Web3打新热度高涨,三个项目值得关注:Limitless为Base生态预测市场,融资700万美元,在Kaito平台超募50倍,大陆KYC不可过,截止10月5日;Momentum为Move流动性引擎,融资1000万,Buidlpad平台需提供流动性,TVL超2 2亿,大陆KYC不可过,截止10月19日;YieldBasis由Curve创始人开发,专注解决