三萬部手機組成的越南機器人農場：如何從真實用戶手中偷走加密空投？

作者 ：Felix Ng

編譯 ：吳說區塊鏈 Aki Chen

在距離胡志明市僅 40 分鐘車程的一座帶冷藏系統的 "鐵皮棚" 裡，Mirai Labs 首席執行官 Corey Wilton 首次真正意識到加密空投被濫用的規模之巨大。"這真的令人毛骨悚然。"Wilton 在接受採訪時表示。此前他剛剛參觀了一處位於越南南部的 "手機農場"，據他估算，那間空間僅有一間單人公寓大小的房間裡，至少堆放著 30,000 部智能手機。

過去四年裡，Wilton 一直希望能親眼見識，那種在 2021 年瓦解了他主打的 NFT 賽馬遊戲 Pegaxy 的幕後運作模式。"當時 Pegaxy 爆火，我們的日活躍用戶數最高達到約 50 萬。"Wilton 回憶道，"那時候，我們開始不斷接到關於 '機器人農場' 的舉報。"這些機器人可以同時操控上百個帳號，迅速搶購勝率較高的賽馬，並反復參與比賽以贏取遊戲內貨幣，而這些代幣隨後可以在現實中變現。"你會看到有人發的截圖，螢幕上同時運行著十幾個、二十幾個應用程序，而且類似的畫面也在社交媒體上頻繁出現。" 他解釋說。

Pegaxy 是一款由系統自動運行、十五匹馬同場競技的賽馬遊戲。Wilton 表示，機器人農場讓這款遊戲從 "誰能贏" 變成了 "誰能更快地提取價值" --- --- 遊戲氛圍由此發生轉變，也加速了項目的衰落。

親臨現場：揭秘越南 "專業級" 手機農場

今年 5 月，Wilton 終於如願，在一位前 Pegaxy 玩家協助下，得以獨家參觀越南一家 "高度專業化的手機農場"。這位玩家是在 TikTok 上偶然發現了這處農場的蹤跡。

（Corey Wilton）

"我去了兩個地方，都離我所在的位置大約 40 分鐘車程，算是比較偏遠的區域。" 他回憶道，"那裡絕對不會有外國人前往，而且他們也完全不希望被人知道。"Wilton 描述其中一處地點是一座緊鄰街道的鐵皮棚，內部空調開到了 "能有多冷就多冷" 的程度。

鐵皮棚內部擺滿了金屬架，每個架子上密密麻麻地放著上千部智能手機，只留下狹窄的通道供員工通行。整個佈局看起來就像是一家 "山寨" 加密礦場。

Wilton 表示，對方向他展示了該業務中的 "租賃環節"，客戶可以根據自身需要租用這家手機農場，用於任何目的。與傳統的機器人伺服器不同，手機農場中的每部設備都配有獨立的 SIM 卡和設備指紋，還可以偽裝 IP 地理位置，使其更難被偵測，特別適用於要求每個帳號綁定手機號的系統場景。此外，手機在計算能力與成本之間具備較高性價比，且其中某一台設備即便損壞，也能被快速替換，不會對整體運作造成實質影響。

Wilton 表示，在他親眼看到的案例中，一名操作員會通過電腦控制一部 "主控手機"，這部主控設備又連接著 500 多部 "從屬手機"。無論主控手機上執行什麼操作，所有從屬設備都會同步複製。"他們的客戶其實大多來自 Web2 行業。比如有 K-pop 經紀公司租用這些設備來刷流量；也有賭場用它來模擬真人玩家，讓對局顯得更 '真實'，但其實是用來壓制你，引導你输钱。"

"還有一些 Web2 玩家批量刷手機遊戲，通過養號再出售這些已升級的帳號。" 他補充道。不過，Wilton 表示，這家農場的核心業務其實是 "製造"。

該操作員會以低價收購損壞或廢舊的智能手機，然後通過軟件和其他手段進行改裝，最終打包成 "自助式手機農場" 設備，銷往海外市場。該項目每週可生產超過 1,000 部可直接用於部署的農場手機，每個 "手機農場套裝" 大約包含 20 部設備。Wilton 表示這些人並不親自操作手機。他們不會自己去薅空投或者執行相關操作。他們的主要業務，其實是打包銷售這些設備，並發往海外那些想在家操作的人手中。接下來你只需要讓這些設備保持在線，再買更多手機接入就行了。"

Wilton 表示感嘆道難怪 "機器人輔助的加密空投薅羊毛" 已經成為加密行業的一大顽疾。所謂加密空投薅羊毛，指的是通過製造大量錢包地址、偽造用戶行為等方式，來獲取本應獎勵給真實早期用戶的免費代幣。儘管大多數加密空投並不要求手機號碼驗證，但通過唯一的設備指紋和 IP 地址，依然可以繞過抗女巫攻擊機制（Sybil protection）。

這類 "薅空投" 的做法往往導致農場用戶在領取代幣後立即拋售，衝擊市場價格，同時也使得真正的真實用戶更難獲得空投。許多項目在空投前會出現大量虛假活躍行為，而一旦空投發放完成，用戶數量和代幣價格往往迅速下跌。

加密空投爭議頻發，機器人行為遭到廣泛指責

無論是通過大批手機操控，還是用單台電腦控制，機器人行為都對加密空投活動造成了極大破壞。去年 6 月，以太坊零知識（ZK）Layer2 擴容項目 ZKsync 因空投遭遇大量機器人攻擊而饱受诟病，用戶紛紛指責其為 "機器人薅羊毛" 大開方便之門。

鏈上數據分析平台 Lookonchain 發布消息稱，一名 "空投獵人" 通過 85 個錢包地址領取了超過 300 萬枚 ZKsync (ZK) 代幣，當時總價值高達 75.3 萬美元。另一名用戶則在社交平台上公開炫耀，稱自己通過 "極其高效的 $ZK 女巫攻擊策略" 獲利近 80 萬美元。

所謂 "女巫攻擊"（Sybil attack），是一種安全威脅行為，攻擊者通過製造多個虛假身份，試圖在網絡系統中謀取不正當優勢。該術語來源於一本名為《Sybil》的書，書中描寫了一位患有多重人格障礙的女性案例。ZKsync 的競爭對手 Polygon 的安全主管 Mudit Gupta 將其稱為 "可能是史上最容易被薅、也最被薅過頭的空投"，並將問題歸咎於防機器人機制的缺失。儘管 ZKsync 此次設置了七項資格篩選標準，旨在防範女巫攻擊。

ZKsync 在其官方 FAQ 中回應稱，當前的女巫攻擊策略日益複雜，已經很難與真實用戶區分開來；而如果採取過於嚴格的篩選標準，雖然能攔下一部分女巫攻擊者，但也可能會誤傷大量真實用戶。

不過就在上個月，Binance（幣安）在整頓其 "Binance Alpha Points" 計劃中的機器人行為時，給出了不同的觀點。"傳統的機器人通常遵循可預測、重複的行為模式，因此相對容易被識別，"Binance 一位發言人在接受採訪時表示。"但隨著 AI 驅動型機器人的興起，我們現在面對的是一套更接近人類行為的系統 --- --- 從瀏覽習慣到互動時間，都能高度模擬真人，使得識別難度大大增加。"Binance 表示，平台正在不斷加大反機器人力度，開發新型工具，從大規模行為模式中識別異常操作。比如地址實體關聯分析，它可以幫助識別由同一行為體控制的錢包集群，即便這些錢包在表面上看似彼此獨立。

這些分析對於揭示偽裝持倉、多地址批量轉賬操控（multisend manipulation）以及刷量交易（wash trading）等行為尤為關鍵 --- --- 這些正是 AI 驅動型機器人常用的手法，用於偽造真實參與度和虛假流動性。而遭殃的不止是加密空投，機器人也被指責大量湧入市場，製造出無數毫無價值的 Meme 幣。Coinbase 產品負責人 Conor Grogan 最近在 X 平台發文指出："目前在 PumpFun 和 LetsBonk 平台上線的大多數代幣，背後幾乎都是由機器人操控。" 他發現，在 Meme 幣平台 LetsBonk 上，頭部帳號平均每 3 分鐘就發布一個新代幣。

a16z Crypto 的數據科學家兼合夥人 Daren Matsuoka 認為，女巫攻擊（Sybil attack）其實是近年來才顯現出來的問題。"在加密貨幣的大部分發展歷程中，我們其實天然就具備一定的抗女巫能力 --- --- 因為在這些 Layer1 區塊鏈上，Gas 費用一直都很高。" 他在今年 4 月的一期 a16z Crypto 播客中表示。

"過去你為了獲得空投資格，確實需要支付幾美元甚至幾十美元的交易成本。但隨著基礎設施的不斷優化，現在操作的成本已經變得非常低。我認為，這將徹底改變攻擊和防禦機制的博弈格局。"a16z Crypto 的首席技術官 Eddy Lazzarin 則一直在強調構建 "人類證明"（proof of human）機制的重要性。

"AI 現在已經可以生成大量逼真的行為記錄。最先進的機器人農場如今已經幾乎無法被可靠識別，而且用不了多久，那些技術中等的農場也將變得同樣難以察覺。"Lazzarin 在今年 5 月的一篇文章中寫道。Lazzarin 最感興趣的，是構建一種 "人格證明"（proof of personhood）機制：它應當讓真實人類可以輕鬆且免費地驗證自身身份，而讓機器人或欺詐者在大規模作假時付出高昂成本與操作難度。他提到，Sam Altman 發起的虹膜掃描項目 World 就是這類機制的典型代表。該項目的核心理念是，每個人只能註冊一次 World ID，其唯一性通過虹膜掃描來驗證（因為每個人的虹膜都是獨一無二的）。

Lazzarin 在空投主題播客中補充道："我非常希望看到更多人嘗試類似 World ID 的系統，它結合了生物識別技術與隱私保護機制，用以限制每人只能擁有一個身份 ID。"

不過，以太坊聯合創始人 Vitalik Buterin 認為，"一人一 ID" 並非完美解決方案，因為這意味著所有歷史行為可能都被綁定到一個攻擊點 --- --- 即該身份所對應的密鑰。一旦洩露，風險極大。同時，他指出，生物識別和政府身份信息本身也可能被偽造。

為何不直接取消加密空投？

如果加密空投如此容易被操控，那最直接的選擇似乎就是乾脆取消空投機制。不過，也有觀點認為，空投仍有其存在的意義。將代幣空投給真實參與協議的用戶，不僅有助於實現項目治理的去中心化，也能通過賦予投票權等方式分散控制權。此外，空投往往還能製造大量話題熱度。"很明顯的一個理由是：當你發放大量可能具有價值的代幣時，就會吸引大量關注，這本身就具有行銷效果。"Lazzarin 表示。"空投本質上就是一種行銷工具。"

Wilton 也表示認同並指出，項目方應該預設一部分用戶會出售代幣，而這其實就是獲取用戶所需承擔的行銷成本，關鍵在於確保這些用戶是真實的人，並且 "願意長期留下來"。與此同時，Binance 則認為，自動化機器人本身並非完全有害。事實上，在某些場景下，如果使用得當且透明，機器人反而可以發揮積極作用 --- --- 例如用於提供流動性、代表用戶執行策略，或在審計期間進行壓力測試模擬。