DeSo quer sua frase semente. Deixe-os vir e pegá-la

No final do domingo, 9 de janeiro, o fundador da DeSo, Nader Al-Naji, anunciou que seu serviço de “mídia social descentralizada”atualizar seu FLOW de login, que foi amplamente criticado. Mas especialistas quase uniformemente argumentaram que a atualização tornaria a segurança do usuário do DeSo muito pior – e até mesmo prejudicaria a segurança em todo o cenário emergente da “Web 3″.

DeSo (que antes operava como BitClout) é, em princípio, um exemplar do que a Web 3 poderia se tornar. O sistema é construído em torno da economia de tokens, com a intenção de ajudar os criadores de conteúdo a serem pagos por seu trabalho, e os usuários gerenciam seus ativos DeSo usando carteiras digitais análogas ao MetaMask ou Samourai. Outros sistemas de “tokens de criadores”, particularmente Roll e Rally, buscaram modelos relacionados.

Mas os críticos notaram anteriormente que o DeSo estava induzindo os usuários a se envolverem em um comportamento muito estranho e perigoso: inserir a “frase semente” de sua carteira por meio de uma interface da web para fazer login em suas contas da web do DeSo. Uma frase semente, às vezes chamada de “frase de recuperação”, dá acesso completo ao conteúdo de uma carteira para qualquer um que a conheça, e é impossível substituí-la ou redefini-la de forma organizada depois que ela é comprometida.

Por serem tão sensíveis, a melhor prática amplamente aceita para lidar com frases-semente é literalmente nunca inseri-las em nenhuma interface conectada à internet, com um site sendo talvez a pior escolha possível. A responsabilidade individual pelo gerenciamento de carteira é essencial para o conceito da Web 3, e ensinar aos usuários uma boa segurança será fundamental para o sucesso geral da iniciativa.

Leia Mais: Nader Al-Naji (anteriormente conhecido como ‘Diamondhands’) revela plano de longo prazo para BitClout Blockchain

Mas em vez de resolver esse problema fundamental usando uma frase-semente como login na web, DeSo parece ter dobrado a aposta: o novo recurso encorajaria os usuários a entregar sua frase-semente ao Google Drive.

"Isso T pode ser real"

Esta suposta correção foi recebida com desprezo incandescente por executivos, engenheiros e investidores de alto nível em Cripto – desprezo temperado com descrença sardônicaque, sim, uma suposta operação Web 3 com US$ 200 milhões em investimentos da Andreessen Horowitz e outrosdefensores da Web 3 de primeira linha realmente fez isso.

Grandes figuras, incluindo o CEO da Sino Global Capital, Matthew Graham, parecem concordar: usar a nuvem para armazenar frases-semente que controlam potencialmente centenas de milhares de dólares em Cripto é, à primeira vista, o mais estúpido que existe.

Talvez o discurso mais enérgico em resposta ao novo “recurso” do DeSo tenha vindo de Taylor Monahan, especialista em segurança cibernética e CEO do desenvolvedor de carteiras MyCrypto.

O que é uma frase semente?

Por que exatamente é tão indizivelmente ruim pedir aos usuários que insiram a frase semente de uma carteira Cripto em uma extensão da web? Para carteiras de software como Exodus ou Electrum, uma frase semente é bastante análoga à “chave privada” que concede controle direto de uma única conta Bitcoin on-chain. Ela é gerada por um sistema automático e, diferentemente de, digamos, uma senha do Google, nem mesmo o desenvolvedor da carteira T ver a frase — ou redefini-la ou recuperá-la se ela for perdida.

E uma vez que alguém tenha a frase-semente de uma carteira, eles podem simplesmente roubar seu conteúdo – o que Al-Naji admitiu no domingo que foi exatamente o que aconteceu com um número impressionante10%dos primeiros usuários do DeSo.

Como uma questão de segurança cibernética, então, uma frase semente é quase tão sensível quanto dados biométricos. A biometria forma a espinha dorsal de segurança de outro projeto pseudo-criptográfico profundamente equivocado,Worldcoin de Sam Altman, que enfrentou duras críticas por seu modelo de especialistas, incluindo Edward Snowden. Como Snowden apontou, dados biométricos são perigosos porque é impossível substituí-los depois de comprometidos. Uma frase semente de Cripto pode, em certo sentido, ser substituída depois de vazada, mas é um processo oneroso que envolve a configuração de carteiras totalmente novas – e quando você terminar, sua carteira comprometida pode já ter sido esvaziada.

Leia Mais: Nader Al-Naji - Web 3 Mídias Sociais Precisam de Blockchains Dedicados

No sentido mais restrito, isso significa que o login de frase-semente do DeSo é um risco imenso e constante para os usuários do próprio sistema. Em particular, ataques de phishing que imitam de perto páginas de login oficiais para capturar credenciais de Cripto se tornaram extremamente difundidos. Isso levou a grandes comprometimentos de usuários em plataformas como Mar abertoe Coinbase. Mas carteiras auto-hospedadas são muito mais difíceis de minar, quando usadas corretamente. Al-Naji, argumentam os críticos, está indo além para tornar as carteiras de seus próprios usuários vulneráveis. (Perguntas à equipe DeSo sobre o papel específico das frases-semente na plataforma DeSo foram direcionadas de volta ao tópico de domingo de Al-Naji.)

O enquadramento narcisista da questão por Al-Naji, sem dúvida, irritou ainda mais as pessoas. Seus tuítes de anúncio criaram uma escolha completamente falsa entre "gritar para os usuários fazerem melhor" ou oferecer um FLOW de segurança fundamentalmente inferior. Mas o problema inicial foi inteiramente o design de DeSo, não a preguiça do usuário. A nova "solução" parece ter sido escolhida pelas aparências em vez da eficácia: Al-Naji e sua equipe T querem incomodar os usuários com o download de uma carteira de software segura, mas também T podem admitir o erro revertendo sua própria decisão anterior de design ruim. Em vez disso, tivemos uma clássica dupla investida.

UX é uma questão de segurança

Por mais que o próprio DeSo esteja dançando com o diabo aqui, o problema muito maior para os críticos parece ser que seu FLOW de login de frase-semente treinará os usuários em práticas de segurança precárias. Isso pode levar a ainda mais mal-entendidos e tragédias em todo o ecossistema nascente da Web 3.

“A DeSo me enfurece porque eles reconhecem a responsabilidade da carteira enquanto, ao mesmo tempo, desconsideram intencionalmente todas as melhores práticas básicas do livro”, Monahan me disse quando entrei em contato para obter mais informações. “Não é apenas que eles armazenam segredos de forma insegura no navegador ou que estão treinando os usuários de que não há problema em inserir segredos em qualquer site antigo, é o esforço que eles fazem para defender suas ações maliciosas.

“Isso levanta a questão: se servir os usuários não é uma prioridade, qual é a real motivação da DeSo dentro do ecossistema da Web 3?”

Essa é uma crítica particularmente mordaz porque a DeSo está tão entrelaçada com as mesmas entidades focadas em levar a “Web 3″ para o mainstream (ou pelo menos ganhar dinheiro com o esforço). Em sua encarnação inicial, quando operava e vendia tokens como BitClout, a DeSo levantou fundos de pelo menos 19 fontes, incluindoBlockchain.com Capital, Arrington XRP Capital, Winklevoss Capital e, mais notavelmente, Andreessen Horowitz. Andreessen Horowitz assumiu a posição de defender a Web 3, inclusive durante a recente conferência de Jack Dorsey explosão anti-Web 3.

É claro que esses fundos T controlam diretamente as escolhas dos fundadores ou das empresas em que investem. Mas esta T é a primeira vez que a DeSo ameaça se tornar um constrangimento para seus patrocinadores.

Um 'padrão escuro'

O desastre do Google Drive vem depois de outras ações da DeSo que foram amplamente vistas com ceticismo ou suspeita. Perto do topo da lista está o design questionável da arrecadação de fundos inicial da DeSo, conduzida como BitClout. A venda inicial de tokens CLOUT usou o que é conhecido como uma “curva de ligação” que, de acordo com os críticos, resultou em uma generosabrinde para investidores privados de pré-venda (mesmo para os padrões de Cripto ).

O BitClout também desencadeou raiva pelo que alguns viram como desrespeito arrogante aos direitos de propriedade individual e Política de Privacidade. Para construir perfis na primeira versão do produto, o BitClout raspou o Twitter para fotos de perfil dos usuáriose outros ativos. Então, encorajou os usuários a pagar pelo privilégio de assumir o controle de contas BitClout criadas, sem sua permissão, usando sua própria propriedade intelectual.

Alguns usuários pensaram que estavamsendo personificadopelos perfis raspados. O ex-executivo de marketing do Google, Adam Singer, descreveu a prática como “hostil ao usuáriopadrão escuro BS.”

Como parte da mudança de marca para DeSo, o token CLOUT foi trocado por deso. O próprio BitClout agora é cobrado como um aplicativo único construído sobre o blockchain DeSo. Mas há razões significativas para acreditar que esta foi uma mudança de marca de conveniência, dada a ampla reação contra o BitClout sobre essas e outras questões. Também é notável que, conforme descrito pela Protos Media, a mudança de marca foi, em alguns casos, relatada incorretamente como DeSo levantando novos fundos, quando foi levada adianteos mesmos 200 milhões de dólarescriado sob o nome BitClout.

Em um desenvolvimento positivo, Al-Naji parece ter ficado um tanto humilhado pela reação negativa ao seu anúncio de domingo. Desde então, ele recorreu ao Twitter para, com algo que quase parece sinceridade,peça por melhores opções para “um login de autocustódia total que é totalmente privado (sem PII), de baixo atrito, compatível com dispositivos móveis e T requer uma extensão”.

Pessoalmente, acho que a insistência em evitar uma extensão ou outra camada de segurança claramente protegida por firewall é equivocada. Al-Naji corretamente aponta que baixar e instalar uma extensão é uma barreira para alguns usuários – mas também é baixar um aplicativo de streaming para seu Roku, e a Netflix parece estar indo bem. Alguns compromissos podem ser necessários para adicionar novos usuários, mas o gerenciamento de chaves é um recurso inerente da Web 3, não um bug irritante. Nesta fase do jogo, é responsabilidade das startups treinar futuros usuários da Web 3 para fazer as coisas da maneira certa.

Em vez disso, escolher dar aos usuários uma maneira de contornar preguiçosamente a arquitetura básica da Web 3 pode beneficiar o crescimento de operações individuais como a DeSo no curto prazo. Mas, ao ensinar as lições erradas, tais práticas estão aumentando o risco do usuário e, por sua vez, enfraquecendo as bases para todos os outros projetos no ecossistema. Isso ajuda a explicar exatamente por que tantas pessoas estão ficando furiosas: o erro de segurança da DeSo, ironicamente, equivale a um tipo de roubo do esforço maior da Web 3.