DeSo vuole la tua frase di seme. Lascia che vengano a prenderla

Domenica sera, 9 gennaio, il fondatore di DeSo Nader Al-Naji ha annunciato che il suo servizio di “social media decentralizzati” sarebbeaggiornare il FLOW di accesso, che era stato ampiamente criticato. Ma gli esperti hanno sostenuto quasi unanimemente che l'aggiornamento avrebbe peggiorato notevolmente la sicurezza degli utenti di DeSo, e avrebbe persino minato la sicurezza nell'intero panorama emergente del "Web 3".

DeSo (che in precedenza operava come BitClout) è in linea di principio un esempio di ciò che Web 3 potrebbe diventare. Il sistema è costruito attorno all'economia dei token, pensata per aiutare i creatori di contenuti a essere pagati per il loro lavoro, e gli utenti gestiscono i loro asset DeSo usando portafogli digitali analoghi a MetaMask o Samourai. Altri sistemi "creator token", in particolare Roll e Rally, hanno perseguito modelli correlati.

Ma i critici avevano già notato che DeSo stava inducendo gli utenti a impegnarsi in un comportamento molto strano e pericoloso: immettere la "frase seme" del loro portafoglio tramite un'interfaccia web per accedere ai loro account web DeSo. Una frase seme, a volte definita "frase di recupero", fornisce l'accesso completo al contenuto di un portafoglio a chiunque lo conosca ed è impossibile sostituirla o ripristinarla ordinatamente una volta compromessa.

Poiché sono così sensibili, la migliore pratica ampiamente accettata per la gestione delle frasi seed è quella di non inserirle mai in nessuna interfaccia connessa a Internet, con un sito Web che è forse la scelta peggiore possibile. La responsabilità individuale per la gestione del portafoglio è fondamentale per il concetto di Web 3 e insegnare agli utenti una buona sicurezza sarà fondamentale per il successo dell'iniziativa complessiva.

Continua a leggere: Nader Al-Naji (precedentemente noto come "Diamondhands") svela il piano a lungo termine per BitClout Blockchain

Ma invece di affrontare questo problema fondamentale utilizzando una frase seme come login web, DeSo sembra aver raddoppiato gli sforzi: la nuova funzionalità incoraggerebbe gli utenti a trasferire la loro frase seme a Google Drive.

"Questo T può essere vero"

Questa presunta soluzione è stata accolta con un disprezzo incandescente da parte di dirigenti, ingegneri e investitori di alto profilo Cripto , disprezzo lievitato con incredulità sarcasticache, sì, una presunta operazione Web 3 con 200 milioni di dollari di investimenti da parte di Andreessen Horowitz e altrisostenitori del Web 3 di prima qualità l'ho fatto davvero.

Personaggi importanti, tra cui il CEO di Sino Global Capital, Matthew Graham, sembrano essere d'accordo: usare il cloud per archiviare frasi iniziali che controllano potenzialmente centinaia di migliaia di dollari in Cripto è, a prima vista, la cosa più stupida che ci sia.

Forse la risposta più energica alla nuova “funzionalità” di DeSo è arrivata da Taylor Monahan, esperto di sicurezza informatica e CEO dello sviluppatore di portafogli MyCrypto.

Cos'è una frase seme?

Perché è così indicibilmente sbagliato chiedere agli utenti di inserire la frase seed da un portafoglio Cripto in un'estensione web? Per i portafogli software come Exodus o Electrum, una frase seed è abbastanza analoga alla "chiave privata" che garantisce il controllo diretto di un singolo account Bitcoin on-chain. Viene generata da un sistema automatico e, a differenza, ad esempio, di una password di Google, persino lo sviluppatore del portafoglio T può vedere la frase, né reimpostarla o recuperarla se viene persa.

E una volta che qualcuno ha la frase seme di un portafoglio, può semplicemente rubarne il contenuto, cosa che Al-Naji ha ammesso domenica essere esattamente ciò che è successo a una cifra sbalorditiva.10%dei primi utenti DeSo.

In termini di sicurezza informatica, quindi, una frase seme è quasi tanto sensibile quanto i dati biometrici. La biometria costituisce la spina dorsale di sicurezza di un altro progetto pseudo-crittografico profondamente fuorviante,Worldcoin di Sam Altman, che ha dovuto affrontare aspre critiche per il suo modello da parte di esperti tra cui Edward Snowden. Come ha sottolineato Snowden, i dati biometrici sono pericolosi perché è impossibile sostituirli una volta compromessi. Una frase di seed Cripto può in un certo senso essere sostituita una volta trapelata, ma è un processo oneroso che comporta la creazione di nuovi portafogli completamente nuovi e, quando ci riesci, il tuo portafoglio compromesso potrebbe essere già stato svuotato.

Continua a leggere: Nader Al-Naji - Web 3 I social media hanno bisogno di blockchain dedicate

In senso stretto, ciò significa che l'accesso seed-phrase di DeSo rappresenta un rischio immenso e costante per gli utenti del sistema stesso. In particolare, gli attacchi di phishing che imitano da vicino le pagine di accesso ufficiali per catturare le credenziali Cripto sono diventati estremamente diffusi. Questi hanno portato a importanti compromessi di utenti su piattaforme come Mare Apertoe Coinbase. Ma i portafogli self-hosted sono molto più difficili da indebolire, se usati correttamente. Al-Naji, sostengono i critici, sta facendo un ulteriore passo avanti per rendere vulnerabili i portafogli dei suoi utenti. (Le domande al team DeSo sul ruolo specifico delle frasi seed sulla piattaforma DeSo sono state indirizzate al thread di domenica di Al-Naji.)

La definizione narcisistica della questione da parte di Al-Naji ha indubbiamente irritato ulteriormente le persone. I suoi tweet di annuncio hanno creato una scelta completamente falsa tra "urlare agli utenti di fare di meglio" o offrire un FLOW di sicurezza fondamentalmente inferiore. Ma il problema iniziale era interamente il design di DeSo, non la pigrizia degli utenti. La nuova "soluzione" sembra essere stata scelta per le apparenze piuttosto che per l'efficacia: Al-Naji e il suo team T vogliono disturbare gli utenti con il download di un portafoglio software sicuro, ma T possono nemmeno ammettere un errore invertendo la loro precedente cattiva decisione di progettazione. Invece, abbiamo ottenuto un classico raddoppio.

L'esperienza utente è un problema di sicurezza

Per quanto la stessa DeSo stia ballando con il diavolo, il problema molto più grande per i critici sembra essere che il loro FLOW di login seed-phrase addestrerà gli utenti a pratiche di sicurezza scadenti. Ciò potrebbe portare a ancora più incomprensioni e tragedie nell'intero ecosistema nascente del Web 3.

"DeSo mi fa infuriare perché riconosce la responsabilità del portafoglio e allo stesso tempo ignora volontariamente ogni buona pratica di base nel libro", mi ha detto Monahan quando mi sono rivolto a lui per avere maggiori informazioni. "Non è solo che conservano segreti in modo non sicuro nel browser o che stanno insegnando agli utenti che è accettabile inserire segreti su qualsiasi vecchio sito web, è la lunghezza a cui si spingono per difendere le loro azioni dannose.

“Ciò solleva la domanda: se servire gli utenti non è una priorità, qual è la vera motivazione di DeSo all’interno dell’ecosistema Web 3?”

Questa è una critica particolarmente tagliente perché DeSo è così intrecciata con le stesse entità focalizzate sul rendere mainstream il "Web 3" (o almeno sul fare soldi nello sforzo). Nella sua prima incarnazione, quando operava e vendeva token come BitClout, DeSo raccoglieva fondi da almeno 19 fonti, tra cuiBlockchain.com Capital, Arrington XRP Capital, Winklevoss Capital e, più di tutti, Andreessen Horowitz. Andreessen Horowitz ha preso posizione nel sostenere il Web 3, anche durante il recente anti-esplosione di Web 3.

Naturalmente, questi fondi T controllano direttamente le scelte dei fondatori o delle aziende in cui investono. Ma questa T è la prima volta che DeSo minaccia di diventare un imbarazzo per i suoi sostenitori.

Un "modello oscuro"

Il fiasco di Google Drive arriva dopo altre mosse di DeSo che sono state ampiamente viste con scetticismo o sospetto. In cima alla lista c'è il discutibile design della raccolta fondi iniziale di DeSo, condotta come BitClout. La vendita anticipata di token CLOUT ha utilizzato quella che è nota come una "curva di legame" che, secondo i critici, equivaleva a un'insolitamente generosaomaggio agli investitori privati in prevendita (anche per gli standard Cripto ).

BitClout ha anche scatenato la rabbia per quello che alcuni hanno visto come un disprezzo sprezzante per i diritti di proprietà individuale e la Privacy. Per creare profili sulla prima versione del prodotto, BitClout ha raschiato Twitter per foto del profilo degli utentie altri asset. Poi ha incoraggiato gli utenti a pagare per il privilegio di prendere il controllo degli account BitClout creati, senza il loro permesso, utilizzando la loro proprietà intellettuale.

Alcuni utenti pensavano che fosseroessere impersonatodai profili raschiati. L'ex dirigente marketing di Google Adam Singer ha descritto la pratica come "ostile all'utentemodello scuro BS.”

Come parte del rebranding in DeSo, il token CLOUT è stato da allora scambiato con deso. BitClout stesso è ora fatturato come un'unica app costruita sulla blockchain DeSo. Ma ci sono ragioni significative per credere che questo sia stato un rebranding di convenienza, data l'ampia reazione negativa contro BitClout su questi e altri problemi. È anche degno di nota che, come descritto da Protos Media, il rebranding è stato in alcuni casi riportato erroneamente come DeSo che raccoglieva nuovi finanziamenti, quando è stato portato avantigli stessi 200 milioni di dollarisollevata sotto il nome BitClout.

In uno sviluppo positivo, Al-Naji sembra essere stato in qualche modo umiliato dalla reazione negativa al suo annuncio di domenica. Da allora è andato su Twitter per, con qualcosa che sembra quasi sincerità,chiedere opzioni migliori per "un accesso con completa autocustodia, totalmente privato (senza dati personali identificabili), poco vincolante, ottimizzato per i dispositivi mobili e che T richiede un'estensione".

Personalmente, trovo che l'insistenza nell'evitare un'estensione o un altro livello di sicurezza chiaramente protetto da firewall sia fuorviante. Al-Naji sottolinea giustamente che scaricare e installare un'estensione è una barriera per alcuni utenti, ma lo è anche scaricare un'app di streaming sul tuo Roku, e Netflix sembra funzionare bene. Potrebbero essere necessari alcuni compromessi per aggiungere nuovi utenti, ma la gestione delle chiavi è una caratteristica intrinseca del Web 3, non un fastidioso bug. A questo punto del gioco, è responsabilità delle startup addestrare i futuri utenti del Web 3 a fare le cose nel modo giusto.

Scegliere invece di dare agli utenti un modo per aggirare pigramente l'architettura di base del Web 3 potrebbe giovare alla crescita di singole operazioni come DeSo nel breve periodo. Ma insegnando le lezioni sbagliate, tali pratiche stanno aumentando il rischio per gli utenti e, a loro volta, indebolendo le fondamenta di ogni altro progetto nell'ecosistema. Ciò aiuta a spiegare esattamente perché così tante persone stanno impazzendo: il passo falso di sicurezza di DeSo, ironicamente, equivale a una specie di furto al più ampio sforzo del Web 3.