В воскресенье, 9 января, основатель DeSo Надер Аль-Наджи объявил, что его служба «децентрализованных социальных сетей» обновит процесс входа в систему , который подвергся широкой критике. Но эксперты почти единодушно утверждали, что обновление значительно ухудшит безопасность пользователей DeSo и даже подорвет безопасность во всем формирующемся ландшафте «Web 3».
DeSo (ранее работавшая как BitClout) в принципе является образцом того, чем может стать Web 3. Система построена на экономике токенов, призванной помочь создателям контента получать оплату за свою работу, а пользователи управляют своими активами DeSo с помощью цифровых кошельков, аналогичных MetaMask или Samourai. Другие системы «токенов создателя», в частности Roll и Rally, использовали похожие модели.
Но критики ранее отмечали, что DeSo подталкивает пользователей к очень странному и опасному поведению: вводу «начальной фразы» своего кошелька через веб-интерфейс для входа в свои веб-аккаунты DeSo. Начальная фраза, которую иногда называют «фразой восстановления», дает полный доступ к содержимому кошелька любому, кто ее знает, и ее невозможно аккуратно заменить или сбросить после взлома.
Из-за того, что они настолько чувствительны, общепринятой наилучшей практикой для обработки исходных фраз является буквально никогда не вводить их в какой-либо интерфейс, подключенный к Интернету, а веб-сайт, возможно, является единственным худшим из возможных вариантов. Индивидуальная ответственность за управление кошельком является ключом к концепции Web 3, и обучение пользователей хорошей безопасности будет иметь основополагающее значение для общего успеха инициативы.
Но вместо того, чтобы решить эту фундаментальную проблему с использованием исходной фразы в качестве веб-логина, DeSo, похоже, удвоил усилия: вместо этого новая функция будет побуждать пользователей передавать свою исходную фразу на Google Диск.
«Это не может быть правдой».
Это предполагаемое исправление было встречено яростным презрением со стороны высокопоставленных крипторуководителей, инженеров и инвесторов — презрение, смешанное с сардоническим недоверием к тому, что, да, предполагаемая операция Web 3 с инвестициями в размере 200 миллионов долларов от Андреессена Горовица и других сторонников «голубых фишек» Web 3 на самом деле сделал это.
Крупные фигуры, в том числе генеральный директор Sino Global Capital Мэтью Грэм, похоже, согласились: использование облака для хранения исходных фраз, контролирующих криптоактивы потенциально на сотни тысяч долларов, на первый взгляд настолько глупо, насколько это возможно.
просто как мысленный эксперимент в какой-то альтернативной вселенной, где, начиная с сегодняшнего дня, все закрытые ключи биткойнов должны храниться на Google Диске, потому что причины [просто примите предпосылку], сколько времени пройдет, прежде чем Google Диск будет полностью скомпрометирован всеми возможными способами https: // t.co/iyzfzmY8PN
— Мэтью Грэм (@mattysino) 10 января 2022 г.
Собрал 200 миллионов долларов от венчурных капиталистов и теперь предлагает пользователям вводить свои сид-фразы в веб-расширения 😂
NGMI 🤣🤣 https: //t.co/iC7KrkdTTu
— Дови «Коврик Фиат» Ван🪐🦖 (@DoveyWan) 10 января 2022 г.
собираюсь снова поднять эту проблему
1.) wtf сказал, что спрашивать кого-то о сид-фразе было приемлемо для начала.
2.) wtf сказал, что разместить его на поверхности риска размером с Google Drive было хорошей идеей.
к черту ребрендинг bitclout. https: //t.co/UJINKcDoQf
— IamNomad (@IamNomad) 10 января 2022 г.
Пожалуй, самый энергичный ответ на новую «фичу» DeSo исходил от Тейлора Монахана, эксперта по кибербезопасности и генерального директора разработчика кошельков MyCrypto.
НЕ ГОВОРИТЕ ЛЮДЯМ, ЧТОБЫ ВВОДИТЬ СЕМЯ КУДА-ЛИБО ESP. НЕ FUCKING САЙТ
НЕ FUCKING ПООЩРЯЕТ DAPP УБСУ СКАЗАТЬ ЧЕЛОВЕК ВСТУПИТЬ семена на вебе - сайт,
не смейте называть их СЕМЕНАМИ ОНИ SECRET ВОССТАНОВЛЕНИЯ ФРАЗЫ
DIE В ОГНЕ вы двигаетесь ОБРАТНЫМИ
— Тай (@tayvano_) 9 января 2022 г.
Что такое seed-фраза?
Почему так невыразимо плохо просить пользователей ввести сид-фразу из криптокошелька в веб-расширение? Для программных кошельков, таких как Exodus или Electrum, сид-фраза в значительной степени аналогична «закрытому ключу», который предоставляет прямой контроль над одной учетной записью Биткойн в сети. Он генерируется автоматической системой, и в отличие, скажем, от пароля Google, даже разработчик кошелька не может увидеть фразу — или сбросить или восстановить ее в случае утери.
И как только кто-то получит сид- фразу кошелька, он может просто украсть его содержимое — что, как признал Аль-Наджи в воскресенье, именно это и произошло с ошеломляющими 10% первых пользователей DeSo.
Таким образом, с точки зрения кибербезопасности исходная фраза почти так же чувствительна, как и биометрические данные. Биометрия составляет основу безопасности другого глубоко ошибочного псевдокриптопроекта , WorldCoin Сэма Альтмана, модель которого подверглась резкой критике со стороны экспертов, включая Эдварда Сноудена. Как отметил Сноуден, биометрические данные опасны, потому что их невозможно заменить после того, как они были скомпрометированы. Криптовалютную сид-фразу можно в каком-то смысле заменить после утечки, но это обременительный процесс, включающий создание совершенно новых кошельков, и к тому времени, когда вы это сделаете, ваш скомпрометированный кошелек уже может быть опустошен.
В самом узком смысле это означает, что вход в DeSo с использованием исходной фразы представляет собой огромный и постоянный риск для пользователей самой системы. В частности, чрезвычайно широкое распространение получили фишинговые атаки, которые имитируют официальные страницы входа в систему для получения криптографических учетных данных. Это привело к серьезным компрометациям пользователей на таких платформах, как OpenSea и Coinbase. Но самостоятельные кошельки гораздо сложнее подорвать при правильном использовании. Критики утверждают, что Аль-Наджи делает все возможное, чтобы сделать кошельки своих пользователей уязвимыми. (Вопросы команде DeSo об особой роли начальных фраз на платформе DeSo были направлены обратно в воскресную ветку Аль-Наджи.)
Нарциссическая постановка проблемы Аль-Наджи, несомненно, еще больше разозлила людей. Его твиты-объявления поставили перед совершенно ложным выбором между «кричать на пользователей, чтобы они работали лучше» или предлагать принципиально более низкий уровень безопасности. Но изначально проблема заключалась исключительно в дизайне DeSo, а не в лени пользователя. Похоже, что новое «решение» было выбрано из соображений внешнего вида, а не из-за эффективности: Аль-Наджи и его команда не хотят беспокоить пользователей загрузкой безопасного программного кошелька, но они также не могут признать ошибку, обратив вспять свои ранее неверные решения. дизайнерское решение. Вместо этого мы получили классический двойной даун.
UX — это проблема безопасности
Несмотря на то, что сама DeSo танцует здесь с дьяволом, гораздо более серьезной проблемой для критиков, похоже, является то, что их процесс входа в систему с использованием исходной фразы будет обучать пользователей плохим методам обеспечения безопасности. Это может привести к еще большему недопониманию и трагедии во всей зарождающейся экосистеме Web 3.
«DeSo меня бесит, потому что они признают ответственность кошелька, одновременно умышленно игнорируя все базовые рекомендации, описанные в книге», — сказал мне Монахан, когда я обратился за дополнительной информацией. «Дело не только в том, что они хранят секреты небезопасным способом в браузере или в том, что они обучают пользователей тому, что можно вводить секреты на любом старом веб-сайте, дело в том, как далеко они идут, чтобы защитить свои злонамеренные действия.
«В связи с этим возникает вопрос: если обслуживание пользователей не является приоритетом, какова реальная мотивация DeSo в рамках экосистемы Web 3?»
Это особенно острая критика, потому что DeSo настолько переплетен с теми самыми организациями, которые сосредоточены на том, чтобы сделать «Web 3» мейнстримом (или, по крайней мере, заработать на этом деньги). В своем раннем воплощении, когда он работал и продавал токены как BitClout, DeSo привлекала средства как минимум из 19 источников, включая Blockchain.com Capital, Arrington XRP Capital, Winklevoss Capital и, прежде всего, Andreessen Horowitz. Андреессен Горовиц взял на себя ответственность за защиту Web 3, в том числе во время недавнего выступления Джека Дорси против Web 3 .
Конечно, эти фонды не контролируют напрямую выбор учредителей или компаний, в которые они инвестируют. Но это не первый случай, когда DeSo угрожает поставить в неловкое положение своих сторонников.
«Темный узор»
Фиаско с Google Диском последовало за другими действиями DeSo, которые многие восприняли со скептицизмом или подозрением. Ближе к началу списка находится сомнительный дизайн первоначального сбора средств DeSo, проводимого как BitClout. Ранняя продажа токенов CLOUT использовала так называемую «кривую связывания», которая, по мнению критиков, представляла собой необычно щедрую раздачу частным предпродажным инвесторам (даже по криптостандартам).
BitClout также вызвал ярость из-за того, что некоторые сочли бесцеремонным пренебрежением к личным правам собственности и частной жизни. Чтобы создать профили в первой версии продукта, BitClout извлекла из Твиттера изображения профилей пользователей и другие активы. Затем он призвал пользователей платить за привилегию контролировать учетные записи BitClout, созданные без их разрешения с использованием их собственной интеллектуальной собственности.
Некоторые пользователи думали, что скопированные профили выдают себя за них. Бывший исполнительный директор Google по маркетингу Адам Сингер назвал эту практику «враждебной пользователями темной чушью ».
В рамках ребрендинга на DeSo токен CLOUT был заменен на deso. Сам BitClout теперь позиционируется как отдельное приложение, созданное на основе блокчейна DeSo. Но есть серьезные основания полагать, что это был удобный ребрендинг, учитывая широкую негативную реакцию BitClout по этим и другим вопросам. Также примечательно то, что, как описано Protos Media, ребрендинг в некоторых случаях был неверно указан как DeSo, привлекающий новое финансирование, когда он перенес те же 200 миллионов долларов, привлеченные под именем BitClout.
Положительным моментом является то, что Аль-Наджи, похоже, был несколько унижен негативной реакцией на его воскресное заявление. С тех пор он обратился к Твиттеру, чтобы с чем-то, что почти похоже на искренность, попросить лучшие варианты для «полного входа в систему с самостоятельным хранением, который является полностью конфиденциальным (без личных данных), с низким уровнем трения, удобным для мобильных устройств и не требует расширение".
Лично я считаю, что настойчивое стремление избегать расширения или другого уровня безопасности, явно защищенного брандмауэром, ошибочно. Аль-Наджи справедливо отмечает, что загрузка и установка расширения является препятствием для некоторых пользователей, но то же самое относится и к загрузке потокового приложения на ваш Roku, и у Netflix, похоже, все в порядке. Для добавления новых пользователей могут потребоваться некоторые компромиссы, но управление ключами — это неотъемлемая функция Web 3, а не утомительная ошибка. На данном этапе игры стартапы несут ответственность за то, чтобы научить будущих пользователей Web 3 поступать правильно.
Вместо этого выбор в пользу того, чтобы дать пользователям возможность лениво обойти базовую архитектуру Web 3, может в краткосрочной перспективе принести пользу росту отдельных операций, таких как DeSo. Но, преподнося неправильные уроки, такие практики увеличивают риск пользователей и, в свою очередь, ослабляют основы для любого другого проекта в экосистеме. Это помогает объяснить, почему так много людей сходят с ума: по иронии судьбы оплошность DeSo в области безопасности представляет собой своего рода кражу из более крупных усилий Web 3.
© HADCOINS.com 2024