匿名验证者参与网络，听起来就像是给女巫攻击打开了方便之门。传统PoS靠「你是谁」来建立信任，对方一旦知道你的质押地址，就能追踪你的行为。但如果验证者身份隐匿了呢？攻击者完全可以伪装成无数个虚假身份来操纵共识。这正是DUSK的Sealed-Bid Proof-of-Stake (SBP) 共识最有意思的地方——它用一套巧妙的密码学设计来化解这个矛盾。

SBP的关键在于把「身份」和「行为」分开。验证者的公钥身份确实是匿名的，但参与出块或投票的权利不是凭空而来，而是通过一个类似密封投标的机制获得。简单讲就是：你拿着DUSK代币去投标一个参与权。投标过程本身也被保护了隐私——网络只看到「有人用X数量的权益投了标」，却不知道投标者是谁。然后通过密码学抽签从所有有效投标中随机选出这一轮的委员会成员。

这招怎么防女巫？关键在于成本。你想伪造1000个身份来扩大影响力？可以，但每个身份都需要真金白银的代币权益去投标。这和透明PoS里某个巨鲸伪装成1000个小户完全是两回事——在SBP中，你的总影响力严格取决于总经济投入，跟你创造了多少个匿名身份无关。被系统惩罚的也是你的抵押品本身，不是某个虚假「名字」。

换句话说，SBP把传统的「基于知名身份的声誉安全」转换成了「基于匿名但可验证的经济抵押的博弈安全」。女巫攻击不仅成本高昂，收益还不确定——因为委员会选举本身是随机且隐私的。理论上很优雅，但在实际工程中对密码学抽签的公平性、投标隐私性和可验证性的要求极高。