DeSo хоче вашу початкову фразу. Нехай вони прийдуть і заберуть це

Пізно ввечері в неділю, 9 січня, засновник DeSo Надер Аль-Наджі оголосив, що його служба «децентралізованих соціальних мереж» оновити FLOW входу, який зазнав широкої критики. Але експерти майже одностайно стверджували, що оновлення значно погіршить безпеку користувачів DeSo і навіть підірве безпеку в усьому новому ландшафті «Web 3».

DeSo (який раніше діяв як BitClout) в принципі є прикладом того, чим може стати Web 3. Система побудована на основі економіки токенів, призначеної для того, щоб творці контенту отримували гроші за свою роботу, а користувачі керували своїми активами DeSo за допомогою цифрових гаманців, аналогічних MetaMask або Samourai. Інші системи «жетонів творця», зокрема Roll і Rally, розробляють схожі моделі.

Але критики раніше зазначали, що DeSo спонукав користувачів до дуже дивної та небезпечної поведінки: введення «початкової фрази» свого гаманця через веб-інтерфейс для входу в їхні веб-акаунти DeSo. Початкова фраза, яку іноді називають «фразою відновлення», надає повний доступ до вмісту гаманця будь-кому, хто її знає, і її неможливо акуратно замінити або скинути, якщо її зламано.

Оскільки вони дуже чутливі, загальноприйнятою найкращою практикою обробки початкових фраз є буквально ніколи не вводити їх у будь-який інтерфейс, підключений до Інтернету, а веб-сайт є, мабуть, найгіршим можливим вибором. Індивідуальна відповідальність за керування гаманцем є ключем до концепції Web 3, і навчання користувачів надійній безпеці буде фундаментальним для загального успіху ініціативи.

Читайте також: Надер Аль-Наджі (раніше відомий як «Діамантові руки») представляє довгостроковий план блокчейну BitClout

Але замість того, щоб вирішити цю фундаментальну проблему з використанням початкової фрази як входу в Інтернет, DeSo, схоже, подвоївся: нова функція заохочуватиме користувачів передавати свою початкову фразу на Google Drive.

"Це T може бути справжнім"

Це передбачуване виправлення було зустрінуте палаючим презирством з боку високопоставлених Крипто , інженерів та інвесторів – презирство, заквашене з сардонічне недовір'я що, так, передбачувана операція Web 3 з інвестиціями в 200 мільйонів доларів від Andreessen Horowitz та інших провідні прихильники Web 3 насправді зробив це.

Основні фігури, включаючи генерального директора Sino Global Capital Метью Грема, здавалося, погоджуються: використання хмари для зберігання початкових фраз, які потенційно контролюють Крипто на сотні тисяч доларів, на перший погляд, настільки ж безглуздо, як це може бути.

Мабуть, найенергійніші висловлювання у відповідь на нову «функцію» DeSo надійшли від Тейлора Монахана, експерта з кібербезпеки та генерального директора розробника гаманців MyCrypto.

Що таке насіннєва фраза?

Чому саме так невимовно погано просити користувачів ввести початкову фразу з Крипто у веб-розширення? Для програмних гаманців, таких як Exodus або Electrum, початкова фраза є досить аналогічною «приватному ключу», який надає прямий контроль над єдиним обліковим записом Bitcoin у мережі. Він генерується автоматичною системою, і на відміну, скажімо, від пароля Google, навіть розробник гаманця T може побачити цю фразу – або скинути чи відновити її, якщо вона втрачена.

І як тільки хтось має початкову фразу гаманця, він може просто вкрасти його вміст – що, як Аль-Наджі визнав у неділю, саме те, що сталося з приголомшливим 10% ранніх користувачів DeSo.

Отже, з точки зору кібербезпеки початкова фраза майже така ж конфіденційна, як і біометричні дані. Біометрія є основою безпеки ще одного глибоко помилкового псевдокриптопроекту, Worldcoin Сема Альтмана, який зіткнувся з різкою критикою своєї моделі з боку експертів, зокрема Едварда Сноудена. Як зазначив Сноуден, біометричні дані небезпечні, оскільки їх неможливо замінити після того, як вони скомпрометовані. Початкову фразу Крипто можна в певному сенсі замінити після її витоку, але це трудомісткий процес, пов’язаний із налаштуванням абсолютно нових гаманців – і поки ви це зробите, ваш скомпрометований гаманець може бути вже спорожненим.

Читайте також: Надер Аль-Наджі - Соціальним мережам Web 3 потрібні спеціальні блокчейни

У найвужчому сенсі це означає, що вхід із початкової фрази DeSo є величезним і постійним ризиком для користувачів самої системи. Зокрема, надзвичайно поширеними стали фішингові атаки, які імітують офіційні сторінки входу для захоплення Крипто облікових даних. Це призвело до серйозних компромісів користувачів на таких платформах, як Відкрите море і Coinbase. Але гаманці, розміщені на власному хості, набагато важче підірвати, якщо їх правильно використовувати. На думку критиків, Аль-Наджі робить ще більше, щоб зробити гаманці своїх користувачів уразливими. (Запитання до команди DeSo про конкретну роль початкових фраз на платформі DeSo були направлені назад до недільної теми Аль-Наджі.)

Нарцистичне формулювання проблеми Аль-Наджі, безсумнівно, ще більше розлютило людей. Його твіти з оголошеннями поставили абсолютно хибний вибір між «кричати на користувачів, щоб вони працювали краще» або пропонувати принципово нижчий FLOW безпеки. Але початковою проблемою був виключно дизайн DeSo, а не лінь користувачів. Нове «рішення», схоже, було обрано для зовнішнього вигляду, а не для ефективності: Аль-Наджі та його команда T хочуть турбувати користувачів із завантаженням захищеного програмного гаманця, але вони також T можуть визнати помилку, скасувавши своє власне попередній неправильний проект. Натомість ми отримали класичний подвійний удар.

UX є проблемою безпеки

Незважаючи на те, що сама DeSo тут танцює з дияволом, набагато більшою проблемою для критиків є те, що їх початкова фраза FLOW в систему навчатиме користувачів поганим методам безпеки. Це може призвести до ще більшого непорозуміння та трагедії в усій екосистемі Web 3, що зароджується.

«DeSo мене обурює, тому що вони визнають відповідальність гаманця, водночас навмисно ігноруючи всі базові найкращі практики в книзі», — сказав мені Монахан, коли я потягнувся за докладнішою інформацією. «Справа не тільки в тому, що вони зберігають секрети в небезпечний спосіб у веб-переглядачі, або в тому, що вони навчають користувачів, що можна вводити секрети на будь-якому старому веб-сайті, справа в тому, наскільки довго вони йдуть, щоб захистити свої зловмисні дії.

«Виникає запитання: якщо обслуговування користувачів не є пріоритетом, яка насправді мотивація DeSo в екосистемі Web 3?»

Це особливо гостра критика, тому що DeSo настільки пов’язана з тими самими організаціями, які зосереджені на тому, щоб зробити «Web 3» мейнстрімом (або, принаймні, заробити гроші на цьому). У своєму ранньому втіленні, коли він керував і продавав токени як BitClout, DeSo збирав кошти щонайменше з 19 джерел, у тому числі Blockchain.com Capital, Arrington XRP Capital, Winklevoss Capital і, особливо, Andreessen Horowitz. Андріссен Горовіц висловив думку про підтримку Web 3, зокрема під час нещодавнього виступу Джека Дорсі підрив анти-Web 3.

Звичайно, ці фонди безпосередньо T контролюють вибір засновників або компаній, у які вони інвестують. Але це T перший раз, коли DeSo погрожує стати збентеженням для своїх спонсорів.

«Темний візерунок»

Поразка Google Drive сталася після інших дій DeSo, на які багато хто сприйняв скептицизм або підозру. Близько до верхньої частини списку є сумнівний дизайн початкового збору коштів DeSo, який проводився як BitClout. Ранній продаж токенів CLOUT використовував так звану «криву зв’язку», яка, на думку критиків, була надзвичайно щедрою. роздача приватним інвесторам перед продажем (навіть за Крипто ).

BitClout також викликав гнів через те, що дехто вважав грубим ігноруванням індивідуальних прав власності та Політика конфіденційності. Щоб створити профілі на першій версії продукту, BitClout перебрав Twitter фотографії профілю користувачів та інші активи. Тоді він заохочував користувачів платити за привілей контролю над обліковими записами BitClout, створеними без їхнього дозволу з використанням їх власної інтелектуальної власності.

Деякі користувачі вважали, що так видавати себе за іншу особу за скобленими профілями. Колишній менеджер Google з маркетингу Адам Сінгер описав цю практику як «вороже ставлення до користувачів». темний візерунок BS.”

У рамках ребрендингу на DeSo токен CLOUT було замінено на deso. Сам BitClout тепер виставляється як єдиний додаток, створений на основі блокчейну DeSo. Але є серйозні підстави вважати, що це був ребрендинг для зручності, враховуючи широку негативну реакцію на BitClout через ці та інші проблеми. Також примітно, що, як описує Protos Media, ребрендинг у деяких випадках був неправильно повідомлений як DeSo залучення нового фінансування, коли він переносився ті ж 200 мільйонів доларів піднято під назвою BitClout.

Позитивним є те, що Аль-Наджі, схоже, був дещо принижений негативною реакцією на його недільну заяву. З тих пір він звернувся до Twitter, щоб, з чимось, що здається майже щирим, запитайте кращі варіанти для «повного самостійного входу, який є абсолютно конфіденційним (без ідентифікаційної інформації), має низький рівень тертя, зручний для мобільних пристроїв і T потребує розширення».

Особисто я вважаю помилковим наполягання на униканні розширення або іншого чітко захищеного міжмережевим екраном рівня безпеки. Аль-Наджі справедливо зазначає, що завантаження та встановлення розширення є перешкодою для деяких користувачів, але також заважає завантажувати програму для потокового передавання на ваш Roku, і Netflix, здається, справляється добре. Для додавання нових користувачів можуть знадобитися деякі компроміси, але керування ключами є невід’ємною функцією Web 3, а не набридливою помилкою. На цьому етапі гри стартапи зобов’язані навчити майбутніх користувачів Web 3 робити все правильно.

Якщо натомість дати користувачам можливість ліниво обійти базову архітектуру Web 3, це може принести користь розвитку окремих операцій, таких як DeSo, у короткостроковій перспективі. Але, викладаючи неправильні уроки, такі практики збільшують ризик для користувачів і, у свою чергу, послаблюють основи для будь-якого іншого проекту в екосистемі. Це допомагає пояснити, чому так багато людей божевільні: помилка DeSo у сфері безпеки, за іронією долі, становить своєрідну крадіжку в результаті більших зусиль Web 3.