DeSo quiere tu frase semilla. Que vengan y se la lleven.

A última hora del domingo 9 de enero, el fundador de DeSo, Nader Al-Naji, anunció que su servicio de “redes sociales descentralizadas”actualizar su FLOW de inicio de sesión, que había sido ampliamente criticado. Sin embargo, los expertos argumentaron casi unánimemente que la actualización empeoraría considerablemente la seguridad de los usuarios de DeSo, e incluso socavaría la seguridad en todo el emergente panorama de la "Web 3".

DeSo (anteriormente operado como BitClout) es, en principio, un ejemplo de lo que podría llegar a ser la Web 3. El sistema se basa en la economía de tokens, cuyo objetivo es ayudar a los creadores de contenido a cobrar por su trabajo, y los usuarios gestionan sus activos de DeSo mediante monederos digitales similares a MetaMask o Samourai. Otros sistemas de tokens de creador, en particular Roll y Rally, han adoptado modelos similares.

Sin embargo, los críticos señalaron previamente que DeSo incitaba a los usuarios a realizar un comportamiento muy extraño y peligroso: ingresar la "frase semilla" de su billetera a través de una interfaz web para iniciar sesión en sus cuentas web de DeSo. Una frase semilla, a veces llamada "frase de recuperación", otorga acceso completo al contenido de una billetera a cualquiera que la conozca, y es imposible reemplazarla o restablecerla correctamente una vez comprometida.

Debido a su alta sensibilidad, la mejor práctica aceptada para gestionar frases semilla es, literalmente, nunca introducirlas en ninguna interfaz conectada a internet, siendo un sitio web quizás la peor opción. La responsabilidad individual en la gestión de la billetera es clave para el concepto de la Web 3, y enseñar a los usuarios buenas prácticas de seguridad será fundamental para el éxito de la iniciativa.

Sigue leyendo: Nader Al-Naji (anteriormente conocido como «Diamondhands») revela un plan a largo plazo para la blockchain de BitClout.

Pero en lugar de abordar este problema fundamental con el uso de una frase inicial como inicio de sesión web, DeSo parece haber redoblado sus esfuerzos: la nueva función alentaría a los usuarios a entregar su frase inicial a Google Drive.

'Esto no puede ser real'

Esta supuesta solución fue recibida con un desprecio incandescente por parte de ejecutivos, ingenieros e inversores de Cripto de alto perfil, un desprecio aderezado con incredulidad sardónicaEso sí, una supuesta operación Web 3 con 200 millones de dólares de inversión de Andreessen Horowitz y otrosdefensores de la Web 3 de primera línea En realidad hice eso.

Figuras importantes, incluido el director ejecutivo de Sino Global Capital, Matthew Graham, parecieron estar de acuerdo: usar la nube para almacenar frases semilla que controlan potencialmente cientos de miles de dólares en Cripto es, a primera vista, lo más estúpido que existe.

Quizás el discurso más enérgico en respuesta a la nueva “función” de DeSo provino de Taylor Monahan, experto en ciberseguridad y director ejecutivo del desarrollador de billeteras MyCrypto.

¿Qué es una frase semilla?

¿Por qué es tan indescriptiblemente malo pedir a los usuarios que introduzcan la frase inicial de una billetera de Cripto en una extensión web? Para billeteras de software como Exodus o Electrum, una frase inicial es bastante similar a la "clave privada" que otorga control directo sobre una sola cuenta de Bitcoin en cadena. Se genera mediante un sistema automático y, a diferencia de, por ejemplo, una contraseña de Google, ni siquiera el desarrollador de la billetera puede ver la frase, ni restablecerla ni recuperarla si se pierde.

Y una vez que alguien tiene la frase semilla de una billetera, simplemente puede robar su contenido, lo cual Al-Naji admitió el domingo que fue exactamente lo que le sucedió a una cantidad asombrosa de personas.10%de los primeros usuarios de DeSo.

En materia de ciberseguridad, una frase semilla es casi tan sensible como los datos biométricos. La biometría constituye la columna vertebral de la seguridad de otro proyecto pseudocriptográfico profundamente desacertado.Worldcoin de Sam Altman, cuyo modelo recibió duras críticas por parte de expertos como Edward Snowden. Como señaló Snowden, los datos biométricos son peligrosos porque son imposibles de reemplazar una vez comprometidos. Una frase semilla de Cripto puede, en cierto sentido, reemplazarse una vez filtrada, pero es un proceso costoso que implica configurar billeteras completamente nuevas, y para cuando lo consigas, es posible que tu billetera comprometida ya esté vacía.

Sigue leyendo: Nader Al-Naji - Las redes sociales de la Web 3 necesitan cadenas de bloques dedicadas

En sentido estricto, esto significa que el inicio de sesión con frase semilla de DeSo representa un riesgo inmenso y constante para los usuarios del propio sistema. En particular, los ataques de phishing que imitan fielmente las páginas de inicio de sesión oficiales para obtener credenciales de Cripto se han generalizado. Estos han provocado importantes vulnerabilidades de usuarios en plataformas como Mar abiertoy Coinbase. Pero las billeteras autoalojadas son mucho más difíciles de vulnerar si se usan correctamente. Al-Naji, según argumentan los críticos, se está esforzando al máximo para que las billeteras de sus propios usuarios sean vulnerables. (Las preguntas al equipo de DeSo sobre la función específica de las frases semilla en la plataforma DeSo se remitieron al hilo del domingo de Al-Naji).

El enfoque narcisista de Al-Naji sobre el problema sin duda irritó aún más a la gente. Sus tuits de anuncio plantearon una disyuntiva completamente falsa: "gritarles a los usuarios que lo hicieran mejor" u ofrecer un FLOW de seguridad fundamentalmente inferior. Pero el problema inicial fue enteramente el diseño de DeSo, no la pereza de los usuarios. La nueva "solución" parece haber sido elegida por las apariencias más que por la eficacia: Al-Naji y su equipo no quieren molestar a los usuarios con la descarga de una billetera de software segura, pero T pueden admitir un error revirtiendo su propia mala decisión de diseño anterior. En cambio, obtuvimos una apuesta doble.

La experiencia de usuario (UX) es un problema de seguridad

Si bien DeSo está jugando con el diablo, el problema mucho más importante para los críticos parece ser que su FLOW de inicio de sesión basado en frase semilla inculcará en los usuarios malas prácticas de seguridad. Esto podría generar aún más malentendidos y tragedias en todo el naciente ecosistema de la Web 3.

“DeSo me enfurece porque reconocen la responsabilidad de la billetera y, al mismo tiempo, ignoran deliberadamente todas las buenas prácticas básicas”, me dijo Monahan cuando le pregunté por más información. “No se trata solo de que almacenen secretos de forma insegura en el navegador ni de que enseñen a los usuarios que no hay problema en introducirlos en cualquier sitio web, sino de los esfuerzos que hacen para defender sus acciones maliciosas”.

Esto nos lleva a preguntarnos: si servir a los usuarios no es una prioridad, ¿cuál es la verdadera motivación de DeSo dentro del ecosistema de la Web 3?

Esa es una crítica particularmente mordaz porque DeSo está tan involucrado con las mismas entidades enfocadas en popularizar la "Web 3" (o al menos lucrarse con ello). En sus inicios, cuando operaba y vendía tokens como BitClout, DeSo recaudó fondos de al menos 19 fuentes, incluyendoBlockchain.com Capital, Arrington XRP Capital, Winklevoss Capital y, sobre todo, Andreessen Horowitz. Andreessen Horowitz ha tomado la iniciativa en la defensa de la Web 3, incluso durante la reciente presentación de Jack Dorsey. explosión anti-Web 3.

Por supuesto, estos fondos no controlan directamente las decisiones de los fundadores o las empresas en las que invierten. Pero esta no es la primera vez que DeSo amenaza con convertirse en una vergüenza para sus patrocinadores.

Un 'patrón oscuro'

La debacle de Google Drive se produce después de otras acciones de DeSo que han sido ampliamente vistas con escepticismo o sospecha. En primer lugar de la lista se encuentra el cuestionable diseño de la recaudación de fondos inicial de DeSo, realizada como BitClout. La venta inicial de tokens CLOUT utilizó lo que se conoce como una "curva de bonos" que, según los críticos, resultó en una cantidad inusualmente generosa.obsequio a inversores privados de preventa (incluso para los estándares Cripto ).

BitClout también desató indignación por lo que algunos consideraron una indiferencia arrogante hacia los derechos de propiedad individual y la Privacidad. Para crear perfiles en la primera versión del producto, BitClout buscó en Twitter fotos de perfil de los usuariosy otros activos. Luego, incentivó a los usuarios a pagar por el privilegio de controlar cuentas de BitClout creadas sin su permiso, utilizando su propia propiedad intelectual.

Algunos usuarios pensaron que eranser suplantadopor los perfiles extraídos. El ex ejecutivo de marketing de Google, Adam Singer, describió la práctica como "hostil para el usuario".patrón oscuro BS."

Como parte del cambio de marca a DeSo, el token CLOUT se ha sustituido por deso. BitClout se presenta ahora como una aplicación única basada en la blockchain de DeSo. Sin embargo, existen razones de peso para creer que se trató de un cambio de marca por conveniencia, dada la amplia reacción negativa contra BitClout por estos y otros problemas. Cabe destacar que, como lo describe Protos Media, en algunos casos se informó erróneamente que el cambio de marca era una recaudación de fondos por parte de DeSo, cuando en realidad se mantuvo vigente.los mismos 200 millones de dólarescriado bajo el nombre BitClout.

Como dato positivo, Al-Naji parece haberse sentido algo humillado por la reacción negativa a su anuncio del domingo. Desde entonces, ha recurrido a Twitter para, con algo que casi parece sinceridad,pedir mejores opciones para “un inicio de sesión de autocustodia completo que sea totalmente privado (sin PII), de baja fricción, compatible con dispositivos móviles y que no requiera una extensión”.

Personalmente, considero errónea la insistencia en evitar una extensión u otra capa de seguridad claramente protegida por firewall. Al-Naji señala con acierto que descargar e instalar una extensión supone una barrera para algunos usuarios, pero también lo es descargar una aplicación de streaming a su Roku, y Netflix parece funcionar bien. Puede que sea necesario hacer algunas concesiones para añadir nuevos usuarios, pero la gestión de claves es una característica inherente de la Web 3, no un error molesto. En esta fase, es responsabilidad de las startups capacitar a los futuros usuarios de la Web 3 para que hagan las cosas correctamente.

Optar, en cambio, por ofrecer a los usuarios una forma de eludir de forma perezosa la arquitectura básica de la Web 3 podría beneficiar el crecimiento de operaciones individuales como DeSo a corto plazo. Pero al enseñar las lecciones equivocadas, estas prácticas aumentan el riesgo para los usuarios y, a su vez, debilitan las bases de todos los demás proyectos del ecosistema. Esto ayuda a explicar por qué tanta gente está furiosa: el error de seguridad de DeSo, irónicamente, equivale a una especie de robo del esfuerzo general de la Web 3.