DeSo хочет вашу фразу-семя. Пусть придут и возьмут ее

Поздно вечером в воскресенье, 9 января, основатель DeSo Надер Аль-Наджи объявил, что его сервис «децентрализованных социальных сетей» будетобновить свой FLOW входа в систему, который широко критиковался. Но эксперты почти единогласно утверждали, что обновление значительно ухудшит безопасность пользователей DeSo — и даже подорвет безопасность во всем формирующемся ландшафте «Web 3».

DeSo (ранее работавший как BitClout) в принципе является примером того, чем может стать Web 3. Система построена на экономике токенов, призванной помочь создателям контента получать оплату за свою работу, а пользователи управляют своими активами DeSo с помощью цифровых кошельков, аналогичных MetaMask или Samourai. Другие системы «токенов создателей», в частности Roll и Rally, следовали схожим моделям.

Но критики ранее отмечали, что DeSo подталкивал пользователей к очень странному и опасному поведению: вводу «семенной фразы» своего кошелька через веб-интерфейс для входа в свои веб-аккаунты DeSo. Семенная фраза, иногда называемая «фразой восстановления», дает полный доступ к содержимому кошелька любому, кто ее знает, и ее невозможно аккуратно заменить или сбросить после того, как она скомпрометирована.

Поскольку они настолько чувствительны, общепринятая лучшая практика для обработки фраз-источников — буквально никогда не вводить их в какой-либо интерфейс, подключенный к Интернету, а веб-сайт, возможно, является единственным худшим возможным выбором. Индивидуальная ответственность за управление кошельком является ключом к концепции Web 3, и обучение пользователей хорошей безопасности будет иметь основополагающее значение для общего успеха инициативы.

Читать дальше: Надер Аль-Наджи (ранее известный как «Бриллиантовые руки») представил долгосрочный план для блокчейна BitClout

Однако вместо того, чтобы решить эту фундаментальную проблему с помощью использования исходной фразы в качестве веб-логина, ДеСо, похоже, пошел на удвоение усилий: новая функция вместо этого будет побуждать пользователей передавать исходную фразу Google Диску.

«Это T может быть правдой»

Это предполагаемое решение было встречено яростным презрением со стороны высокопоставленных руководителей Криптo , инженеров и инвесторов — презрением, приправленным сардоническое недовериечто, да, предполагаемая операция Web 3 с 200 миллионами долларов инвестиций от Andreessen Horowitz и другихСторонники первоклассных технологий Web 3 на самом деле сделал это.

Крупные деятели, включая генерального директора Sino Global Capital Мэтью Грэма, похоже, согласны: использование облака для хранения исходных фраз, контролирующих потенциально сотни тысяч долларов Криптo , на первый взгляд, является глупостью, какой только можно себе представить.

Пожалуй, самую энергичную тираду в ответ на новую «функцию» ДеСо высказал Тейлор Монахан, эксперт по кибербезопасности и генеральный директор разработчика кошелька MyCrypto.

Что такое начальная фраза?

Почему же так невыразимо плохо просить пользователей вводить фразу-семя из Криптo в веб-расширение? Для программных кошельков, таких как Exodus или Electrum, фраза-семя довольно похожа на «закрытый ключ», который предоставляет прямой контроль над одним аккаунтом Bitcoin в цепочке. Она генерируется автоматической системой, и в отличие, скажем, от пароля Google, даже разработчик кошелька T может увидеть фразу — или сбросить или восстановить ее, если она утеряна.

И как только кто-то получит начальную фразу кошелька, он может просто украсть его содержимое — именно это и произошло с ошеломляющим случаем, признал в воскресенье Аль-Наджи.10%первых пользователей DeSo.

В вопросе кибербезопасности, таким образом, фраза-семя почти так же чувствительна, как и биометрические данные. Биометрия формирует основу безопасности другого глубоко ошибочного псевдокриптопроекта,Worldcoin Сэма Альтмана, которая подверглась резкой критике за свою модель со стороны экспертов, включая Эдварда Сноудена. Как указал Сноуден, биометрические данные опасны, поскольку их невозможно заменить после того, как они были скомпрометированы. В некотором смысле, Криптo фразу можно заменить после ее утечки, но это обременительный процесс, включающий создание совершенно новых кошельков — и к тому времени, как вы это сделаете, ваш скомпрометированный кошелек может быть уже пуст.

Читать дальше: Надер Аль-Наджи - Социальным сетям Web 3 нужны специальные блокчейны

В самом узком смысле это означает, что вход DeSo с помощью seed-фразы представляет собой огромный и постоянный риск для пользователей самой системы. В частности, фишинговые атаки, которые точно имитируют официальные страницы входа для захвата Криптo учетных данных, стали чрезвычайно распространенными. Это привело к серьезным компрометациям пользователей на таких платформах, как Открытое мореи Coinbase. Но самостоятельные кошельки гораздо сложнее подорвать, если использовать их правильно. Критики утверждают, что Аль-Наджи делает все возможное, чтобы сделать кошельки своих пользователей уязвимыми. (Вопросы к команде DeSo о конкретной роли сид-фраз на платформе DeSo были перенаправлены обратно в воскресную ветку Аль-Наджи.)

Нарциссическая постановка проблемы Аль-Наджи, несомненно, еще больше разозлила людей. Его твиты-объявления создали совершенно ложный выбор между «криком на пользователей, чтобы они работали лучше» или предложением принципиально худшего FLOW безопасности. Но изначальной проблемой был полностью дизайн ДеСо, а не лень пользователей. Новое «решение», похоже, было выбрано для видимости, а не эффективности: Аль-Наджи и его команда T хотят беспокоить пользователей загрузкой безопасного программного кошелька, но они также T могут признать ошибку, отменив свое собственное ранее плохое решение по дизайну. Вместо этого мы получили классическую двойную ставку.

UX — это проблема безопасности

Насколько DeSo сама танцует с дьяволом, настолько же более серьезной проблемой для критиков, похоже, является то, что их FLOW входа с помощью фразы-семян приучит пользователей к плохим методам обеспечения безопасности. Это может привести к еще большему непониманию и трагедии во всей зарождающейся экосистеме Web 3.

«DeSo бесит меня, потому что они признают ответственность кошелька, одновременно намеренно игнорируя все основные передовые практики в книге», — сказал мне Монахан, когда я обратился за более подробной информацией. «Дело не только в том, что они хранят секреты небезопасным способом в браузере или что они обучают пользователей тому, что вводить секреты на любом старом сайте — это нормально, но и в том, на что они идут, чтобы защитить свои вредоносные действия.

«Возникает вопрос: если обслуживание пользователей не является приоритетом, какова реальная мотивация DeSo в экосистеме Web 3?»

Это особенно острая критика, потому что DeSo тесно переплетен с теми самыми организациями, которые нацелены на то, чтобы сделать «Web 3» мейнстримом (или, по крайней мере, заработать на этом деньги). В своем раннем воплощении, когда он работал и продавал токены как BitClout, DeSo привлекал средства как минимум из 19 источников, включаяBlockchain.com Capital, Arrington XRP Capital, Winklevoss Capital и, что самое главное, Andreessen Horowitz. Andreessen Horowitz занял позицию, выступая за Web 3, в том числе во время недавнего выступления Джека Дорси анти-Web 3 взрыв.

Конечно, эти фонды T контролируют напрямую выбор учредителей или компаний, в которые они инвестируют. Но это T первый раз, когда DeSo грозит стать позором для своих спонсоров.

«Темный узор»

Фиаско Google Drive последовало за другими действиями DeSo, которые широко рассматривались со скептицизмом или подозрением. Ближе к началу списка находится сомнительный дизайн первоначального сбора средств DeSo, проведенного как BitClout. Ранняя продажа токенов CLOUT использовала то, что известно как «кривая связывания», которая, по словам критиков, составила необычайно щедруюраздача частным инвесторам предпродажи (даже по Криптo меркам).

BitClout также вызвал гнев из-за того, что некоторые считали небрежным пренебрежением к правам собственности и Политика конфиденциальности. Чтобы создать профили в первой версии продукта, BitClout очистил Twitter для фото профиля пользователяи другие активы. Затем он призвал пользователей платить за привилегию взять под контроль учетные записи BitClout, созданные без их разрешения с использованием их собственной интеллектуальной собственности.

Некоторые пользователи думали, что онивыдавать себя за кого-топо скопированным профилям. Бывший руководитель отдела маркетинга Google Адам Сингер описал эту практику как «враждебную пользователютемный узор BS.”

В рамках ребрендинга на DeSo токен CLOUT с тех пор был заменен на deso. Теперь BitClout сам по себе рекламируется как единое приложение, построенное на блокчейне DeSo. Но есть веские основания полагать, что это был ребрендинг из соображений удобства, учитывая широкую негативную реакцию на BitClout по этим и другим вопросам. Также примечательно, что, как описывает Protos Media, ребрендинг в некоторых случаях был неверно представлен как сбор DeSo нового финансирования, когда он был перенесенте же 200 миллионов долларовсобранные под именем BitClout.

В позитивном развитии событий Аль-Наджи, похоже, был несколько смущен негативной реакцией на его воскресное заявление. С тех пор он отправился в Twitter, чтобы, с чем-то, что кажется почти искренним,попросите лучшие варианты для «полного самостоятельного входа в систему, который является полностью конфиденциальным (без персональных данных), не создающим проблем, удобным для мобильных устройств и T требующим расширения».

Лично я считаю, что настойчивость в избегании расширения или другого явно защищенного слоя безопасности является ошибочной. Аль-Наджи справедливо указывает, что загрузка и установка расширения является препятствием для некоторых пользователей, но то же самое касается и загрузки потокового приложения на ваш Roku, и Netflix, похоже, справляется. Некоторые компромиссы могут быть необходимы для добавления новых пользователей, но управление ключами является неотъемлемой функцией Web 3, а не раздражающей ошибкой. На данном этапе игры ответственность за обучение будущих пользователей Web 3 делать все правильно лежит на стартапах.

Выбор вместо этого способа дать пользователям возможность лениво обойти базовую архитектуру Web 3 может принести пользу росту отдельных операций, таких как DeSo, в краткосрочной перспективе. Но, преподавая неправильные уроки, такие практики увеличивают риск для пользователей и, в свою очередь, ослабляют основы для всех остальных проектов в экосистеме. Это помогает объяснить, почему так много людей сходят с ума: по иронии судьбы, ошибка DeSo в безопасности представляет собой своего рода кражу из более масштабных усилий Web 3.