Фермерство ретродропів: Інфраструктура для управління 500+ гаманцями

Чому фарм аірдропів став професійною дисципліною

Ретроактивні аірдропи змінили криптоіндустрію назавжди. Коли Uniswap у вересні 2020 року розподілив токени UNI, кожна адреса, що взаємодіяла з протоколом, отримала мінімум 400 токенів — приблизно $1,200 на той момент. Ця подія породила абсолютно новий мета-підхід: фармити протоколи до оголошення токенів. До моменту кампаній LayerZero та zkSync гра еволюціонувала з випадкової участі у повноцінну інфраструктурну задачу.

Математика проста. Якщо один гаманець кваліфікується на аірдроп вартістю $500, то 500 гаманців — це $250,000. Але виконання — все що завгодно, тільки не просте. Проєкти навчились виявляти Sybil-фермерів — акаунти, якими керує одна людина або організація, вдаючи із себе незалежних користувачів. Різниця між успішною операцією та масовим маркуванням кластера гаманців визначається якістю інфраструктури.

У цій статті розберемо, як професіонали будують і підтримують ферми гаманців, чому антидетект-браузери стали основою цієї інфраструктури, та які конкретні техніки відрізняють успішних фермерів від тих, кого відфільтровують.

Проблема Sybil-детекції

Кожен великий аірдроп тепер використовує ту чи іншу форму Sybil-аналізу. Такі проєкти, як LayerZero, наймали спеціалізовані фірми — Chaos Labs та Nansen — для виявлення кластеризованої поведінки. Фільтрація аірдропу zkSync Era виключила сотні тисяч адрес. Методи детекції багаторівневі.

Ончейн-кластеризація досліджує патерни транзакцій. Гаманці, що взаємодіють з однаковими контрактами в одному порядку, у схожих часових рамках або фінансують один одного через відстежувані ланцюжки — отримують прапорець. Це рівень, на який фокусується більшість фермерів, і це лише верхівка айсберга.

Офчейн-фінгерпринтинг — саме тут більшість ферм провалюється, навіть не усвідомлюючи цього. Коли ви підключаєте гаманець до dApp через браузер, фронтенд збирає набагато більше даних, ніж містить блокчейн-транзакція. Відбитки браузера — canvas-хеш, рядки WebGL-рендерера, роздільна здатність екрану, часова зона, встановлені шрифти та десятки інших параметрів — логуються разом з адресою гаманця. Якщо 50 гаманців підключаються з браузерів з однаковим відбитком, кореляція тривіальна.

Аналіз на рівні мережі розглядає IP-адреси, дані ASN та патерни підключень. Навіть із VPN підключення 500 гаманців з однієї IP-підмережі за короткий час створює очевидні закономірності. Метадані на рівні провайдера, характеристики TCP/IP-стеку та витоки через WebRTC додають додаткові вектори кореляції.

Поведінковий аналіз вивчає часові патерни, послідовності взаємодій та розподіл активності. Гаманці, що виконують ідентичні дії протягом секунд один від одного або дотримуються підозріло однорідного розкладу, кластеризуються незалежно від технічної ізоляції.

Чому антидетект-браузери кращі за ферми на Chrome-профілях

Наївний підхід до фарму гаманців — створення сотень профілів Chrome, кожен зі своїм MetaMask. На масштабі це ламається з кількох фундаментальних причин.

Профілі Chrome використовують один бінарний файл браузера. Ключові елементи відбитка — версія браузера, поведінка движка рендерингу, певні апаратні ідентифікатори — залишаються ідентичними між профілями. Ізоляція профілів у Chrome була розроблена для зручності користувача, а не для adversarial-розділення відбитків. Інструменти форензик-аналізу можуть корелювати профілі на одній машині через спільні характеристики, які Chrome не рандомізує.

Споживання ресурсів — ще один вбивчий фактор. Кожен профіль Chrome з MetaMask споживає 300-500 МБ оперативної пам’яті. При 500 профілях потрібно 150-250 ГБ RAM тільки для браузерів — без урахування операційної системи та інструментів автоматизації. Це змушує або масивно інвестувати в залізо, або використовувати хмарну інфраструктуру, яка створює власні ризики кореляції.

Антидетект-браузери вирішують ці проблеми архітектурно. Santiago, наприклад, створює справді ізольовані середовища, де кожен профіль має незалежно налаштовувані параметри відбитка. Canvas-хеш, вивід WebGL, відбиток аудіоконтексту, метрики екрану, рядки платформи та значення hardware concurrency — все унікальне для кожного профілю. З точки зору будь-якого сайту або фронтенду dApp кожен профіль виглядає як абсолютно окремий фізичний пристрій.

Ресурсна модель також принципово інша. Профілі антидетекту запускаються за потребою та призупиняються, коли не використовуються. Замість 500 постійних процесів Chrome ви запускаєте 10-20 одночасних сесій і ротуєте набір гаманців. Споживання пам’яті залишається керованим, а операційний патерн більше нагадує поведінку реальних незалежних користувачів — вони не знаходяться онлайн одночасно.

Побудова інфраструктури гаманців

Професійна ферма гаманців має кілька рівнів, що повинні працювати узгоджено.

Генерація гаманців та управління сідами

Кожен гаманець потребує власної сід-фрази, згенерованої з достатньою ентропією. Використання послідовних або передбачуваних методів генерації — критична помилка: Sybil-аналіз іноді здатен виявити гаманці, згенеровані з пов’язаних джерел ентропії. Використовуйте апаратні генератори випадкових чисел або добре перевірені програмні ГВЧ.

Зберігайте сід-фрази у зашифрованих базах даних із роздільним контролем доступу для кожного гаманця. Ніколи не зберігайте сіди у текстових файлах, сховищі браузера або спільних документах. Один витік компрометує всю операцію.

Прив’язка профіль-гаманець

Кожен гаманець MetaMask повинен бути навічно прив’язаний до конкретного профілю антидетект-браузера. Цю прив’язку необхідно документувати й ніколи не порушувати. Коли гаманець #247 підключається до dApp, він завжди має пред’являти один і той самий відбиток. Непослідовність у відбитках між сесіями для одного гаманця — сама по собі сигнал Sybil, адже реальні користувачі не змінюють обладнання між візитами.

У Santiago це означає створення іменованого профілю для кожного гаманця із зафіксованими конфігураціями відбитка. Профіль зберігає дані розширення MetaMask, кукі, локальне сховище та весь стан браузера. При запуску профілю #247 все середовище — відбиток, гаманець, історія перегляду, кешовані дані — завантажується як єдине ціле.

Архітектура проксі

Кожен профіль потребує виділеного проксі, і вибір проксі має величезне значення. Ієрархія від найгіршого до найкращого:

Датацентр-проксі — найдешевші та найнебезпечніші. Їхні IP-діапазони добре відомі та помічені більшістю антифрод-систем. Використання датацентр-IP негайно викликає підозри.

Резидентні проксі кращі, але з застереженнями. Ротаційні резидентні проксі змінюють IP між сесіями, що створює непослідовність. Якщо гаманець #247 з’являється з Бразилії в понеділок і Німеччини у вівторок — це підозріло. Sticky-сесії допомагають, але зазвичай спливають через 10-30 хвилин.

Статичні резидентні (ISP) проксі — золотий стандарт. Це IP-адреси, що належать резидентним ISP-діапазонам, але доступні як виділені статичні IP. Гаманець #247 завжди підключається з одного й того ж IP, скажімо, у Варшаві. IP числиться в резидентних базах даних, має стабільну геолокацію та збігається з налаштуваннями часової зони та локалі профілю.

Для 500+ гаманців потрібно 500+ статичних IP або ретельно керована схема ротації, де кожен гаманець стабільно використовує один і той самий невеликий набір IP. Бюджет — $2-5 за IP на місяць для якісних статичних резидентних проксі.

Принципи конфігурації відбитків

Не всі параметри відбитка однаково важливі. Починайте з високоімпактних параметрів.

Canvas та WebGL — найбільш унікальні ідентифікатори. Кожен профіль потребує відмінних патернів шуму canvas та комбінацій WebGL renderer/vendor. Santiago обробляє це автоматично, але перевіряйте, що жодні два профілі не дають однакових хешів, прогоняючи перевірки на BrowserLeaks або CreepJS.

Роздільна здатність екрану та обсяг пам’яті повинні відповідати реалістичним конфігураціям. Не ставте профілю #247 роздільну здатність 3840x2160 з 4 ГБ RAM — така комбінація рідкісна та запам’ятовувана. Використовуйте поширені конфігурації: 1920x1080 з 8 або 16 ГБ, 1366x768 з 8 ГБ, 2560x1440 з 16 або 32 ГБ.

Часова зона, мова та локаль повинні бути узгоджені з геолокацією проксі-IP. Якщо проксі виходить у Франкфурті, часова зона має бути Europe/Berlin, основна мова — de-DE або en-US, і налаштування локалі повинні збігатися.

Операційні патерни для уникнення виявлення

Інфраструктура необхідна, але недостатня. Те, як ви використовуєте гаманці, не менш важливе, ніж те, як ви їх налаштовуєте.

Диверсифікація активності

Не змушуйте кожен гаманець виконувати однакові дії. Реальні користувачі поводяться по-різному. Одні гаманці повинні бриджити через Stargate, інші — через Across Protocol. Одні мають використовувати DEX, інші — лендинг-протоколи.

Створіть 5-10 шаблонів активності — різних послідовностей взаємодій з протоколами — і випадково розподіліть їх по гаманцях. Додавайте варіативність у тайминги, суми транзакцій та вибір протоколів всередині кожного шаблону.

Часовий розподіл

Ніколи не проганяйте всі гаманці через одну дію одночасно. Розподіляйте активність по годинах та днях. Використовуйте випадкові затримки між діями — не фіксовані інтервали, які створюють власний патерн. Реалістичний розподіл може обробляти 20-30 гаманців на годину з випадковими проміжками 2-5 хвилин між окремими транзакціями.

Варіативність сум

Бриджити рівно 0.1 ETH з 500 гаманців — миттєвий Sybil-прапорець. Використовуйте рандомізовані суми в реалістичних діапазонах. Замість 0.1 ETH бриджіть суми між 0.073 та 0.148 ETH з некруглими десятковими значеннями. Реальні користувачі здійснюють транзакції на нерівні, неуніфіковані суми.

Обфускація ланцюжка фандингу

Найпоширеніший вектор Sybil-детекції — ланцюжок фінансування. Якщо одна адреса надсилає ETH на 500 гаманців, вони тривіально пов’язані. Професійні операції використовують багатоступеневий фандинг: виведення з централізованих бірж на проміжні гаманці, потім вторинний розподіл із варіюванням сум та таймінгів на кожному переході.

Уроки LayerZero та zkSync

Аірдроп LayerZero у червні 2024 став переломним моментом для Sybil-детекції. Проєкт реалізував багатофазний процес фільтрації, який спіймав ферми, пропущені іншими.

Підхід LayerZero включав самозвітність (де фермери могли визнати Sybil-активність за зменшену алокацію), за якою слідував професійний аналіз з використанням алгоритмів кластеризації Chaos Labs. Ключове відкриття: вони аналізували не лише ончейн-поведінку, а й корелювали її з даними взаємодії через фронтенд. Гаманці, що ділили відбитки браузера при підключенні до фронтенду мосту LayerZero, були кластеризовані та відфільтровані — навіть якщо їхні ончейн-патерни виглядали незалежно.

Фермери з правильно налаштованими антидетект-браузерами та унікальними відбитками для кожного гаманця пройшли цей фільтр. Ті, хто використовував профілі Chrome або погано налаштовані антидетект-рішення, втратили свої алокації.

Фільтрація аірдропу zkSync Era була не менш агресивною. Аналіз робив наголос на «органічній» поведінці: вік гаманця, різноманітність транзакцій, взаємодія з контрактами, не пов’язаними з аірдропами, та стабільна активність протягом часу замість спалахів навколо передбачуваних дат снепшотів.

Урок обох проєктів: короткостроковий burst-фармінг дедалі менш ефективний. Успішні операції підтримують стабільну, різноманітну активність на гаманцях протягом місяців з інфраструктурою, що робить кожен гаманець справді незалежним на рівнях і ончейн-аналізу, і відбитків браузера.

Автоматизація без виявлення

Ручне керування 500+ гаманцями непрактичне. Автоматизація необхідна, але вона повинна бути невидимою.

Скриптова автоматизація з використанням Puppeteer або Playwright може програмно керувати профілями антидетект-браузера. Ключ — зробити автоматизовані взаємодії невідрізненими від людських. Це означає реалістичні патерни руху миші, змінну швидкість набору тексту, випадкове прокручування та людиноподібні затримки між взаємодіями зі сторінкою.

API Santiago дозволяє запускати конкретні профілі з повними конфігураціями відбитків та проксі, а потім автоматизувати взаємодії через стандартні фреймворки автоматизації. Кожна автоматизована сесія успадковує унікальну ідентичність профілю.

Уникайте детектуємих артефактів автоматизації. Стандартний Puppeteer впроваджує прапорці navigator.webdriver та інші характерні ознаки. Використовуйте stealth-плагіни та перевіряйте, що ваш фреймворк автоматизації не перевизначає захист відбитків антидетект-браузера.

Масштабування та управління ризиками

Перехід від 50 гаманців до 500+ кардинально змінює операційні вимоги.

Вимоги до заліза для одночасного запуску 15-20 профілів з автоматизацією: 32 ГБ RAM, 8-ядерний CPU, 500 ГБ SSD. Цього достатньо для одночасних сесій, фреймворку автоматизації та управління проксі. Запускати всі 500 одночасно не потрібно.

Витрати на проксі масштабуються лінійно. При $3 за статичний резидентний IP на місяць 500 IP коштують $1,500/місяць. Це найбільша постійна стаття витрат, яка зазвичай визначає точку беззбитковості.

Управління профілями в масштабі вимагає інструментарію. Ведіть базу даних, що відстежує для кожного профілю прив’язаний гаманець, проксі, хеш відбитка, історію активності та статус.

Часткова фільтрація — найбільш імовірний результат. Навіть з відмінною інфраструктурою очікуйте фільтрації 10-30% гаманців у будь-якому великому аірдропі. Будуйте економіку операції з урахуванням цих очікувань.

Витрати на газ для підтримки активності на 500 гаманцях у кількох мережах сумуються. Відстежуйте накопичені витрати на газ по кожному гаманцю та встановлюйте пороги максимальних інвестицій на основі реалістичних оцінок вартості аірдропу.

Висновок

Успішний фарм аірдропів у масштабі — це інфраструктурна задача. Ера, коли можна було завести 100 гаманців MetaMask у Chrome та проклікати протоколи, закінчилася. Проєкти серйозно інвестують у Sybil-детекцію, і методи виявлення дедалі більше спираються на кореляцію відбитків браузера поряд з ончейн-аналізом.

Антидетект-браузери забезпечують фундаментальний шар, який робить кожен гаманець окремим користувачем — унікальний відбиток, стабільна ідентичність, виділений мережевий шлях. У поєднанні з дисциплінованими операційними практиками — диверсифікацією активності, часовим розподілом, реалістичними патернами транзакцій та чистими ланцюжками фандингу — ця інфраструктура витримує дедалі більш витончені методи виявлення.

Виживають ті фермери, які інвестують у якість інфраструктури, а не в кількість гаманців. П’ятсот добре обслуговуваних гаманців з унікальними відбитками та стабільними поведінковими патернами перевершують п’ять тисяч нашвидкуруч налаштованих профілів кожного разу.