sybil attack কী: multi-account কেন বাতিল হয়

একটা খুব চালু কথা আছে: farming হলো "সমান সুযোগের সম্ভাবনার খেলা", যত বেশি অ্যাকাউন্ট তত বেশি বরাদ্দ মেলার আশা, তাই multi-account = বেশি লাভ। এই যুক্তি ২০২১ সালের আশেপাশে কিছুটা টিকত, কিন্তু ২০২৬ সালে এটা এমন একটা ফাঁদ যা আপনাকে বৃথা খাটিয়ে মারবে। কারণ একটাই শব্দ — sybil ডিটেকশন। এই লেখায় এটা খুলে বলব: এটা আসলে কী খোঁজে, কেন আপনার সেই কয়েক ডজন অ্যাকাউন্ট একসঙ্গে মুছে যায়, আর কেন "ভদ্রভাবে একটা অ্যাকাউন্ট ব্যবহার করা"-ই উল্টো বুদ্ধিমানের চাল।

"sybil" নামটা এল কোথা থেকে

"sybil attack" শব্দটা এসেছে একটা multiple-personality নিয়ে লেখা উপন্যাস থেকে, যার নায়িকার নাম Sybil। কম্পিউটার সিকিউরিটি একে ধার করে নিয়েছে, মানে দাঁড়ায় একটা সত্তা বহু স্বাধীন পরিচয় বানিয়ে, "মাথাপিছু বণ্টন" করা সিস্টেমগুলোকে কারসাজি করা। ভাবুন এক-মানুষ-এক-ভোটের একটা ভোট, কেউ লুকিয়ে হাজারটা ছদ্ম-অ্যাকাউন্ট খুলল, ভোটের ফল তার একার হাতে চলে গেল — এটাই ক্লাসিক sybil attack।

airdrop-এ বসালে যুক্তি হুবহু এক। প্রজেক্ট টোকেন "সত্যিকার ব্যবহারকারীর মাথাপিছু" বিলাতে চায়, কিন্তু ব্লকচেইনে কোনো পরিচয়পত্র নেই, এটা শুধু ওয়ালেট ঠিকানা চেনে। তাই কেউ এই ফাঁক গলে: একজন মানুষ কয়েক ডজন, কয়েকশো ওয়ালেট নিয়ন্ত্রণ করে, প্রতিটাকে "স্বাধীন ব্যবহারকারী" সাজিয়ে, এক ভাগ পাওয়ার কথা এমন airdrop কয়েক ডজন-শো ভাগে নিতে চায়। একজনের পেছন থেকে চালানো এই ওয়ালেটগুলোই "sybil ঠিকানা"।

এই ব্যাপারটা প্রজেক্ট স্বাভাবিকভাবেই দু'চোখে দেখতে পারে না। airdrop করার মূল উদ্দেশ্য সত্যিকার ব্যবহারকারীকে পুরস্কার দেওয়া, টোকেন ছড়িয়ে দেওয়া (প্রজেক্ট কেন কয়েন বিলায়, ফিরে দেখুন airdrop আসলে কী লেখাটা)। একদল মানুষ ছদ্ম-অ্যাকাউন্টের বাহিনী দিয়ে বড় অংশ হাতিয়ে নিলে অযথা টাকাও গেল, সত্যিকার ব্যবহারকারীও মিলল না, টোকেনও হাতে গোনা কয়েকজনের হাতে কেন্দ্রীভূত — যা যা চেয়েছিল সব মাটি। তাই "anti-sybil" বহু আগেই প্রতিটা সঠিক airdrop বিতরণের আগের বাধ্যতামূলক হোমওয়ার্ক।

প্রজেক্ট কীসের ভরসায় multi-account টেনে বের করে

মূল উপলব্ধি এখানে: ব্লকচেইন একটা পাবলিক খাতা, আপনার করা প্রতিটা ট্রান্সফার, প্রতিটা interaction সবাই দেখতে পায়, চিরকাল সেখানে থেকে যায়। প্রাইভেসির জন্য এটা দুধারি তলোয়ার, কিন্তু anti-sybil-এর জন্য মোক্ষম অস্ত্র — প্রজেক্টের আপনার কাছে কিছু জানতে চাওয়ার দরকার নেই, চেইনের দাগ নিজেই কথা বলে। এটা মূলত এই কয়েকটা সূত্র ধরে খোঁজে:

• একই ফান্ডিং উৎস — এটাই সবচেয়ে মারাত্মক আর সাধারণ ফুটো। এক ঝাঁক ছোট অ্যাকাউন্ট চালু করতে gas আর মূলধন তো লাগবেই? অনেকে সুবিধার জন্য একই ওয়ালেট (বা একই এক্সচেঞ্জ থেকে তুলে) কয়েক ডজন অ্যাকাউন্টে এক এক করে টাকা দেয়। এই "এক-থেকে-অনেক" ট্রান্সফার-চেইন চেইনে স্পষ্ট, এটা ধরেই গোটা গুচ্ছ একবারে জুড়ে ফেলা যায়। একইভাবে শেষে প্রতিটা অ্যাকাউন্টের কয়েন আবার একটা ঠিকানায় ঝাঁট দিয়ে নগদ করাও সেই আত্মস্বীকারোক্তির সমান।
• একরকম আচরণ — একজন মানুষ কয়েক ডজন অ্যাকাউন্ট হাতে চালাতে গেলে সুবিধার জন্য স্ক্রিপ্ট বা বাঁধা প্রক্রিয়া ব্যবহার করবেই। ফল: এই অ্যাকাউন্টগুলো কাছাকাছি সময়ে প্রায় একই কাজ করে, একই কন্ট্রাক্ট-পথে যায়, অঙ্কও কাছাকাছি। সত্যিকার মানুষ কখনো এত একরকম হয় না, এই "copy-paste"-ধর্মী মিল মডেল এক ঝলকেই ধরে।
• সম্পর্ক-গ্রাফ — ঠিকানাগুলোর মধ্যেকার ট্রান্সফার-সম্পর্ক একটা জালের মতো এঁকে, তারপর গোটা "তারা"- বা "শিকল"-আকারের যুক্ত গুচ্ছ ধরে ফেলা, যেগুলো প্রায় নিশ্চিতভাবেই একজনের নিয়ন্ত্রণে। এই topology-বৈশিষ্ট্য cluster analysis-এর সবচেয়ে প্রিয় শিকার।
• সময় ও সক্রিয়তার প্যাটার্ন — এক ঝাঁক অ্যাকাউন্ট একই সময়ে জন্ম, একই সময়ে সক্রিয়, কাজ শেষে নিস্তব্ধ — এই চূড়ান্ত-সিঙ্ক্রোনাইজড "জীবনচক্র" বড্ড চোখে লাগে। সত্যিকার ব্যবহারকারীর সক্রিয়তা এবড়োখেবড়ো, দীর্ঘ সময়ে ছড়ানো; উল্টোদিকে পাতলা narrative-যুক্ত আর সিঙ্ক্রোনাইজড ওয়ালেট নিজেই sybil-এর ছাপ (বিস্তারিত on-chain interaction রেকর্ড কীভাবে দেখবেন লেখায়)।

AI আসার পর ডিটেকশন কী বদলাল

আগেকার দিনের anti-sybil বেশিরভাগ চলত মানুষের বসানো নিয়মে: যেমন "একই ঠিকানা থেকে টাকা আসা বাদ", "snapshot-এর ২৪ ঘণ্টা আগে বানানো অ্যাকাউন্টের weight কমানো"। নিয়ম স্থির, অভিজ্ঞ লোক ফাঁকি দেওয়ার পথ বের করতে পারত — ইচ্ছে করে সময়ের ব্যবধান বাড়িয়ে, ইচ্ছে করে আলাদা পথে গিয়ে, ইচ্ছে করে একটু "noise" বানিয়ে নিজেকে ছড়ানো দেখানো। গত কয়েক বছর এটাই ছিল "scientist" আর প্রজেক্টের ইঁদুর-বিড়াল খেলা।

কিন্তু ২০২৬ সালে এই দাবার পাল্লা স্পষ্ট প্রজেক্টের দিকে ঝুঁকেছে, মূল কারণ মেশিন লার্নিং মডেলের ছড়িয়ে পড়া। স্থির নিয়মের বদলে মডেল এভাবে কাজ করে: একে বড় নমুনায় জানা সত্যিকার-মানুষের ওয়ালেট আর জানা sybil ওয়ালেট খাওয়ানো হয়, যাতে এটা নিজে শিখে নেয় দুইয়ের মধ্যে কয়েক দশ-শো মাত্রায় সূক্ষ্ম তফাত। শিখে যাওয়ার পর একটা নতুন ঠিকানা ছুঁড়ে দিলে এটা একটা "কতটা sybil-এর মতো" স্কোর দিতে পারে।

এতে multi-account দলের জন্য দুটো মাথাব্যথার বদল আসে। এক, মডেল মানুষের চোখ আর স্থির নিয়ম দুটোরই এড়িয়ে যাওয়া প্যাটার্ন ধরে ফেলে — আপনি ভাবছেন অ্যাকাউন্টগুলো বেশ ছড়িয়ে রেখেছি, কিন্তু এমন কোনো মাত্রায় যেটা আপনি টেরই পাননি, এই অ্যাকাউন্টগুলো এখনও মিল দেখায়, মডেল আপনাদের একই গণ্ডিতে ঘিরে ফেলে। দুই, এটা batch-এ, স্বয়ংক্রিয়, পুনঃব্যবহারযোগ্য। প্রজেক্ট একবার মডেল চালালে কয়েক লক্ষ ঠিকানার স্কোর বেরিয়ে আসে, বাতিল করা দ্রুত আর নিষ্ঠুর, খরচ নগণ্য। অন্যভাবে বললে, "একটা অ্যাকাউন্ট ছদ্মবেশ দেওয়ার" কষ্ট বাড়ছে, আর "দশ হাজার অ্যাকাউন্ট শনাক্ত করার" খরচ কমছে — এই খেলা একলা লড়া multi-account দলের জন্য দিন দিন আরও প্রতিকূল।

ধরা পড়ার পরিণতি: কম পাওয়া নয়, শূন্য

অনেকের ঝুঁকি নিয়ে একটা ভুল ধারণা — মনে করে "ধরা পড়লে বড়জোর একটু কম দেবে"। তা নয়। sybil-এর স্ট্যান্ডার্ড প্রসেসিং হলো পুরো batch বাতিল, এক পয়সাও নয়, আর প্রায়ই সঙ্গে টেনে নামায়: মডেল আপনার কয়েক ডজন অ্যাকাউন্টকে একটা "সত্তা" হিসেবে জুড়ে ফেলেছে, একবার রায় হলে এই সত্তার নামে থাকা সব ঠিকানা একসঙ্গে মুছে যায়। এই batch-এ ঢালা পুরো gas, মূলধন-চক্র, কয়েক মাসের সময় — একবারে শূন্য।

আরও খারাপ, এই রায়ে কার্যত আপিলের জায়গা নেই। প্রজেক্ট sybil তালিকা প্রকাশের সময় প্রায়ই শুধু ফলটা দেয়, নির্দিষ্ট মাপকাঠি ব্যাখ্যা করে না (ব্যাখ্যা করা মানে অন্যকে এড়ানোর কায়দা শেখানো)। আপনার নিজেকে নিরপরাধ মনে হলেও কোথাও বলার জায়গা নেই। একটা হিসাব করলেই পরিষ্কার: ৩০টা অ্যাকাউন্ট খুললে, প্রতিটায় কয়েক মাসে ঢালা gas আর শ্রম কম নয়, একবার পুরো batch মুছলে লোকসান ৩০ ভাগ খরচ, বদলে ০ লাভ। এই ঝুঁকি-লাভের অনুপাত আর "একটা সত্যিকার অ্যাকাউন্ট ভালো করে গড়া"-র সঙ্গে একদমই এক মানের নয়।

কেন স্থিরভাবে সত্যিকার ব্যবহারকারী হওয়া বেশি লাভজনক

এ পর্যন্ত এসে এই সাইট কেন "single-wallet সত্যিকার অংশগ্রহণ" নিয়ে এত জেদ ধরে, কারণটা শক্ত হয়ে যায়, হিসাবটা খুলে দিই:

• খাটনি বেশি কেন্দ্রীভূত। একই gas, মূলধন আর সময় একটা ওয়ালেটে কেন্দ্রীভূত করলে তার সক্রিয় দিন, প্রোটোকল-বৈচিত্র্য, টাকার সত্যতা — সবই গভীর আর স্বাভাবিক করা যায়; কয়েক ডজন অ্যাকাউন্টে ছড়ালে প্রতিটাই শুধু পাতলা, যান্ত্রিকভাবে করা যায়, কোনোটাই যথেষ্ট সত্যিকার নয়। কেন্দ্রীভূত সেই একটার narrative-এর মান অনেক উঁচু।
• ঝুঁকি কম। একটা স্বাধীন ওয়ালেটের যুক্ত করার মতো কোনো "সঙ্গী" নেই, sybil ডিটেকশনের চোখে সবচেয়ে পরিষ্কার নমুনা; কয়েক ডজন অ্যাকাউন্ট আবার টাকার উৎস আর আচরণের ধরন শেয়ার করে, যেন সব ডিম একটা সহজে-ছেঁড়া দড়িতে গাঁথা।
• নিরাপত্তা ভালো সামলানো যায়। একটা seed phrase-ই হয়তো ঠিকঠাক রাখতে পারবেন না (এটা সত্যিই আগে দেখা দরকার ওয়ালেট নিরাপত্তা: seed phrase, প্রাইভেট কী ও approval ব্যবস্থাপনা), কয়েক ডজন কীভাবে সামলাবেন? না সামলাতে পারলে একটা phish হলে বাকিগুলোও সঙ্গে উন্মুক্ত হতে পারে।
• সঙ্গে সঙ্গে দক্ষতাও শক্ত হয়। একটা ওয়ালেট দিয়ে সত্যিই দিন কাটালে cross-chain, swap, points এসব আসলে কীভাবে চলে তা সত্যিকারে বুঝবেন, এই বোধ অ্যাকাউন্ট-চালানোর "কৌশল"-এর চেয়ে অনেক টেকসই (একটা অ্যাকাউন্টের points কীভাবে সত্যিকারভাবে কামাবেন, দেখুন airdrop points সত্যিকারভাবে কীভাবে কামাবেন)।

আসল কথা, ২০২৬ সালে farming-এর জয়-পরাজয়ের সুতো বহু আগেই "কত অ্যাকাউন্ট খুলতে পারি" থেকে বদলে "আমার ওয়ালেট কতটা সত্যিকার" হয়ে গেছে। multi-account মানে দিন দিন শক্তিশালী একটা ডিটেকশন সিস্টেমের সঙ্গে সরাসরি ধাক্কা, আর সত্যিকার ব্যবহারকারী হওয়া মানে নিয়ম মেনে চলা, নিয়মকে আপনার হয়ে দাঁড় করানো। আগেরটা ক্রমশ স্রোতের উল্টো বাওয়ার মতো, পরেরটাই বেশি সহজ, বেশি দীর্ঘস্থায়ী পথ। গোড়াটা এখনও না গড়ে থাকলে airdrop আসলে কী-তে ফিরে গোটা ছবিটা আরেকবার দেখে নিন, তারপর নতুন farmer-রা সবচেয়ে বেশি যে ১০টা ভুল করে মিলিয়ে মাইন সরান। একটা ওয়ালেটকে ভালো করে, সত্যিকারে গড়ে তোলাই সবার চেয়ে শক্তিশালী।

সচরাচর জিজ্ঞাসা

আমার একটাই ওয়ালেট, ভুল করে sybil হিসেবে ধরা পড়ব না তো?

স্বাভাবিকভাবে একটা ওয়ালেট দিয়ে সত্যিকার interaction করলে ভুল করে ধরা পড়ার আশঙ্কা খুব কম। sybil ডিটেকশন খোঁজে ঠিকানার মধ্যেকার সম্পর্ক আর একরকম আচরণ; একটা স্বাধীন, স্বাভাবিক সক্রিয়-ইতিহাসের ওয়ালেটের সঙ্গে যুক্ত করার মতো কিছু নেই, উল্টো সবচেয়ে পরিষ্কার নমুনা। তবু দুশ্চিন্তা থাকলে স্ক্রিপ্টের মতো কাজ করবেন না: খুব কম সময়ে একই সেট অপারেশন যান্ত্রিকভাবে বারবার করবেন না।

দুটো অ্যাকাউন্ট একই এক্সচেঞ্জ থেকে তুললে কি যুক্ত হয়ে যাবে?

হতে পারে। একাধিক ওয়ালেটের প্রাথমিক টাকা যদি একই উৎস থেকে আসে, এই ট্রান্সফার-চেইন চেইনে পাবলিকভাবে দেখা যায়, cluster analysis সহজেই এদের একসঙ্গে জুড়ে দেয়। এটাই multi-account-এর সবচেয়ে সাধারণ exposure পয়েন্টগুলোর একটা। এই সাইট single-wallet-এর পরামর্শ দেয় ঠিক এই ধরনের সম্পর্ক গোড়া থেকে এড়াতেই।

VPN, ডিভাইস বদল, IP বদল কি sybil ডিটেকশন এড়াতে পারে?

on-chain ডিটেকশন মূলত দেখে ঠিকানার on-chain আচরণ আর টাকার সম্পর্ক, এগুলোর সঙ্গে আপনি কী IP, কী ডিভাইস ব্যবহার করছেন তার সম্পর্ক কম। IP বদলালে বড়জোর ওয়েবসাইটের front-end কিছু risk control এড়ানো যায়, on-chain সম্পর্ক-গ্রাফ এড়ানো যায় না। ছদ্মবেশে শক্তি ঢালার চেয়ে একটা ওয়ালেট সত্যিকারে ব্যবহারে শক্তি দেওয়া সাধারণত বেশি লাভজনক।

sybil হিসেবে ধরা পড়লে কি শুধু একটু কম পাব?

সাধারণত কম পাওয়া নয়, পুরো batch শূন্য, এক পয়সাও নয়, কখনো যুক্ত অন্য ঠিকানাগুলোকেও সঙ্গে টেনে নামায়। তাই এর দাম হলো সেই batch-এ ঢালা পুরো gas আর সময় একবারে শূন্য — ঝুঁকি মোটেও ছোট নয়।

ঠিকানার মধ্যেকার টাকার সম্পর্ক নিজে যাচাই করতে ব্লক এক্সপ্লোরার Etherscan, BscScan দিয়ে ট্রান্সফার ধরে পিছিয়ে দেখতে পারেন; "sybil attack" নিরাপত্তা-ধারণার সহজ ব্যাখ্যা দেখুন Binance Academy আর Investopedia-তে।