Що таке Proof-of-Personhood (PoP)?

Proof-of-Personhood (PoP), або підтвердження особи, — це механізм, що підтверджує «людяність» та унікальність користувача в цифровій мережі. Потреба в системах PoP зросла на тлі розповсюдження ботів та дипфейків, через що відрізнити профіль реальної людини від фейку стає дедалі важче.

Він набув популярності, оскільки зловмисники можуть створювати безліч фальшивих акаунтів для маніпулювання системами — наприклад, під час голосувань чи розподілу винагород. PoP гарантує, що кожен учасник отримує рівний голос і частку винагороди у проєкті. 

На відміну від механізмів консенсусу на кшталт Proof-of-Work чи Proof-of-Stake, PoP не розподіляє права голосу чи винагороди пропорційно до вкладених ресурсів. Таким чином, принцип «одна людина — один голос» реалізується незалежно від обчислювальної потужності або кількості монет, якими володіє користувач.

Навіщо це потрібно?

У сучасному інтернеті є багато прикладів, що демонструють ризики відсутності перевірки «людяності» користувачів.

У 2014 в анонімній мережі Tor відбулася масштабна атака Сивілли тривалістю п’ять місяців. Невідомі зловмисники запустили сотні псевдовузлів, які маніпулювали трафіком: переписували біткоїн-адреси, перенаправляли користувачів на фішингові сайти та намагалися деанонімізувати мережу. Цей інцидент показав, як множинні фейкові особи можуть підривати роботу децентралізованої системи.

У 2024 році користувач Reddit виграв парі, пройшовши перевірку особи з фейковим документом, згенерованого за допомогою Stable Diffusion. Цей випадок продемонстрував, що ШІ вже може обходити традиційну верифікацію особи. 

Фахівці попереджають: якщо людському оку стане неможливо відрізнити реальний контент від штучного, суспільству доведеться покладатися на криптографію та децентралізовані ідентифікатори для перевірки автентичності інформації. Саме для розв’язання цих проблем і призначений Proof-of-Personhood.

PoP встановлює обмеження на створення облікових записів через обов’язкову верифікацію, тим самим унеможливлюючи масштабні атаки Сивілли. Цей механізм також дозволяє фільтрувати контент і доступ до сервісів — наприклад, надавати його лише акаунтам, що належать унікальним особам. Це допомагає стримувати поширення згенерованої ШІ дезінформації.

Які існують методи Proof-of-Personhood?

Існує кілька підходів для підтвердження унікальності користувача («humaneness») у цифрових системах.:

• Онлайн-тести Тюрінга (CAPTCHA). CAPTCHA використовують автоматизовані тестові задачі, щоб відрізнити людей від ботів при реєстрації. Вони частково обмежують автоматизовані атаки, але не можуть завадити одній людині створити багато акаунтів — достатньо послідовно розв’язати декілька тестів. Окрім того, такі головоломки можуть бути важкодоступними користувачам із вадами зору.
  
• Біометрична верифікація. Спеціалізовані сервіси перевіряють особу за біометричними даними — розпізнаванням обличчя, відбитками пальців, геометрією долоні, скануванням сітківки чи райдужної оболонки ока, аналізом підпису тощо. Біометричні методи забезпечують відносно надійне підтвердження унікальності, хоча й породжують питання конфіденційності.
  
• Фізична верифікація. Підтвердження особи офлайн, шляхом присутності людини на певних заходах. Наприклад, учасникам можуть спеціальні SBT-токени (від англ. Soulbound Token), які закріплюються за їхнім гаманцем і слугують доказом перевіреного статусу.
  
• Верифікація через соціальні мережі. Цей підхід покладається на те, що користувачі в соціальному графі перевіряють один одного. Учасники мережі можуть поручитися за знайомих, підтверджуючи їх як реальних людей. Недолік методу — відсутність гарантії від змови: шахрай може створити кілька фейкових особистостей і попросити спільників підтвердити їх. До того ж алгоритми пошуку сибіл-атак у графах зазвичай виявляють лише великі кластери фальшивих вузлів, тоді як дрібні групи можуть залишатися непоміченими.
  
• Гаманці з тимчасовим блокуванням. Користувачі блокують кошти на своєму криптогаманці на визначений період, дозволяючи відстежити їхню активність у часі. Така історія поведінки може слугувати доказом унікальності людини і додає рівень захисту від атаки Сивілли. Однак цей метод не є всепроникним: наприклад, зловмисник теж може одночасно заблокувати кошти на кількох гаманцях, тож механізм не гарантує 100% захисту.
  
• Докази з нульовим розголошенням (Zero-Knowledge Proof, ZKP). Сучасна криптографія дозволяє довести певний факт, не розкриваючи деталей. ZKP-технології дають змогу підтвердити, скажімо, вік чи громадянство користувача без розголошення самих цих даних. У межах PoP це можна застосувати для побудови децентралізованої системи, де учасники доводять свою унікальність, не повідомляючи жодної особистої інформації.

Які проєкти реалізують PoP?

Існує низка проєктів, що працюють над блокчейн-протоколами ідентифікації, які впроваджують концепцію Proof-of-Personhood. Вони дають змогу користувачам підтверджувати свою особу без звернення до централізованих інститутів. Такі протоколи можна інтегрувати у децентралізовані застосунки, щоб забезпечити єдину систему PoP у мережі.

Хайп навколо проекту Worldcoin привернув увагу до PoP, але сама ідея не нова. Ще у 2014 році Віталік Бутерін запропонував розробити «систему унікальної ідентифікації» для криптовалют. Відтоді концепція PoP еволюціонувала в низку проєктів, що реалізують принцип «одна людина — один обліковий запис». Серед них:

• Gitcoin Passport — агрегує так звані «штампи» (мітки) з сервісів Web2 та Web3, які слугують атестатами для кросплатформеної перевірки особи без розкриття приватної інформації.
  
• Idena — вимагає від учасників проходити синхронізовану CAPTCHA-сесію у заданий час, щоб жоден користувач не міг підтвердити особу двічі.
  
• Proof of Humanity — поєднує підхід мереж довіри (web of trust) зі зворотними тестами Тюрінга. Має систему вирішення суперечок та веде реєстр перевірених користувачів.
  
• BrightID — організовує «верифікаційні вечірки» через відеозв’язок для взаємного підтвердження особи. Система Bitu вимагає, щоб достатня кількість уже верифікованих учасників поручилася за новачка перед наданням йому статусу унікальної особи.
  
• World ID — відкритий, permissionless-протокол ідентифікації, що анонімно підтверджує особу людини за допомогою доказів з нульовим розголошенням. (Відомий своєю апаратною реалізацією — сканером райдужки Orb).
  
• HumanCode — пропонує ідентифікувати користувача за відбитком долоні за допомогою звичайного смартфона. У квітні 2024 року проект HumanCode уклав партнерство з TON Society для розвитку своєї технології у екосистемі TON.

Які недоліки має PoP?

• Питання приватності та безпеки даних. Користувачі можуть не довіряти системам PoP свої персональні дані. Навіть попри використання ZKP (що знижує ризики витоку інформації), люди часто вагаються проходити перевірку особи через побоювання за конфіденційність.
  
• Вартість і складність впровадження. Розробка й підтримка надійної, децентралізованої PoP-системи потребує значних фінансових вкладень і участі висококваліфікованих інженерів. Створити масштабну інфраструктуру для верифікації кожної особи — технічно складне завдання.
  
• Помилки автентифікації. Жодна система не ідеальна. У PoP-платформах можливі хибнонегативні або хибнопозитивні результати перевірки (коли реальну людину не вдалося підтвердити, або ж навпаки — бот пройшов верифікацію). Це підриває ефективність і справедливість системи, якщо такі помилки трапляються часто.