BitClout 安全性存疑,「社交币」社会实验进行中
社交媒体,去中心项目的「中心化」风险暗藏。
近段时间,凭借着推特上各路名人的「账号认领」,BitClout 的赚钱效应已经开始显现。在推特及海外社区,多位加密大 V 已经展开了对于加密社交媒体的探讨。面对从诞生之初便自带光环的 BitClout,也在争议中暴露出了一些潜在问题,有关该平台私钥安全性的讨论数量正在增加。3 月下旬,推特用户 @pasr0m 对 BitClout 平台的私钥安全性提出质疑。(推特用户 @pasr0m 对 BitClout 安全性提出质疑)4 月伊始,去中心化金融初创公司 Summa (现已被 CeloOrg 收购)的创始人 James Prestwich 再次「落锤」,指责 BitClout 「将每个用户的私钥暴露于 BitClout API 服务器」。Prestwich 同样是 DeFi 领域早期参与之一,在推特上拥有一万两千名以上的关注者。(推特用户 @_prestwich 对 BitClout 安全性提出质疑)在指责 BitClout 的同时,Prestwich仍在不断提示用户不要将密钥粘贴到网页中,并注意助记词是否安全。这波争议来势汹汹。很快,BitClout 官方对于平台安全性的争议做出了回应。Prestwich 提出的质疑在于:BitClout 将用户密钥上传到公共服务器,这样任何有权访问BitClout 服务器的员工都可以在当时窃取平台上的所有资金。在刚刚过去的 3 月底,BitClout 还曾因未经用户许可出售社交代币面临着法律指控。推特用户对于 BitClout 安全性的关注,也增加了该平台潜在风险。BitClout 官方随后做出公开回应,否认了「BitClout 是不安全的」这种说法。官方认为,BitClout 在发布之前,开发社区已经完成了针对助记词部分的多次审计,这些节点自去年就一直在运行,并未出现问题。官方提到,BitClout 非常重视安全性。称「用户的助记词永远不会存储在除了浏览器以外的任何地方」。(BitClout 对于安全性争议的部分回应细节)BitClout 团队坚持自己在各个方面都经过了多重思考,团队目前的选择是正确的。并称:BitClout 的状态只会随着开发社区的增长和每个人的不断发布而不断改善,团队将会尽最大努力确保所有东西都能快速、负责地发布出来。在这种情况下,用户在 BitClout 上的密钥究竟面临着哪些风险?加密矩阵创始人徐精忠对 Blocklike 对 Prestwich 展示的截图作出初步分析,认为「该图片中,显示浏览器是本地的,这意味着,平台管理人员应当是看不到私钥的。」微博大 V 、BitClout 中文社区爱好者「ScriptMoney」对 Blocklike 作出了进一步的解读。「如果只是从截图中的 API 请求来看,平台管理人员应该不会有看到私钥的可能性。对于推特用户 @pasr0m 提出的质疑,目前这个问题官方应该已经解决了。现在,我在浏览器存储里并未找到私钥,助记词也并未在请求里找到。私钥在签名时是必须的,这一环节无法避免。不过,这里的私钥通过加密发送,走的 https(https 防止网络通信拦截),发送请求,我认为就像传统的用户密码 MD5 加密那样,无法反编译看到明文助记词,但是能验证真实性。」「ScriptMoney」进一步解释称,以往的以太坊 DAPP 中,可以直接在链上广播请求。BitClout 是向服务端发送请求,服务端再往区块链广播。」在这场争议中,客户端为本地浏览器,服务端即 BitClout 团队方,去中心化的社交产品依靠中心化的方式运作,潜在风险时刻存在。可以认为,这也是目前大多数加密项目团队存在的风险:「以目前最火的 NFT TopShot 为例,假设一个卡包被多个人争相购买,那么这些请求将优先发送到后端,并在这里被判断哪位投资者最先抢到,而不是通过比较谁的 Gas 费用更高来决定谁先抢到」。对于每一个加密行业的产品来讲,在可用性、传输速度和安全性之间取得平衡总是很困难的。由于 BitClout 自带「社区币」的敏感属性,这种去中心化团队的「中心化风险」似乎被放大。一方面,质疑者无法忽视浏览器内签名所带来的风险,一位区块链审计领域的推特用户认为:「即使是本地浏览器,也不应当将密钥转移或保存到这些地方。对于 BitClout 这类像 MyETHerWallet 一样、涉及到金融交易的敏感产品,目前的安全性是不足的,仍然建议投资者停止使用 Web 版本」。James Prestwich 也认为,浏览器内签名(in-browser signing)在加密领域也被公认为是有风险的,这并不是一个好的解决方案。而另一方面,很多参与者并未将这种风险放在首要位置。一位交易员认为,这种风险仍在可接受的范围之内,如果密钥不会被窃取,作为交易员的他愿意去「掷骰子」。还有投资人看到的是,在当前阶段,私钥泄露并非用户所面临的最大风险。由于目前用户只能用 BTC 兑换 BitClout 币,尚无法将 BitClout 币卖出为 BTC 并提出,只能通过场外交易获取收益,资金的流动问题更应该被重视。也有人将这种方式解读为一种无奈之举:「这样方法能够降低用户的 UX 障碍。这种策略可能是让普通人使用 DApp 的唯一方法,而关于数币货币钱包的市场教育可能要在这之后再普及了。」的确,自推出以来,BitClout 呈现出了「又黑又红」的走势。该平台诞生之初,「BitClout 被爆存跑路风险」、「审查机制缺失」、「冒名账号频出」、「平台所募资金归集同一个地址」等等问题曾接连被爆出,又在争议中从出生发展到了今天。4 月 12 日,有外媒报道称,130 万 Clubhouse 部分用户数据被发布在某黑客论坛上,这些公开数据可能会导致犯罪分子通过钓鱼或身份盗取进行恶意行为。虽然同样属于社交媒体领域的 Clubhouse 发出了澄清,认为这些已发布的信息来自该平台的用户个人档案,系任何人都可以通过该应用程序或 Clubhouse API 进行访问的公开信息。但是,该事件仍然让「社交媒体」领域的数据隐私问题备受关注。目前,BitClout 已经俨然成为了一个「个人即发币」的平台。3 月 23 日,BitClout 社交媒体平台披露的投资人名单让市场眼前一亮,其中不乏大名鼎鼎的明星加密基金,包括红杉资本、Andreessen Horowitz (a16z)、Coinbase Ventures、Winklevoss Capital、Polychain、DCG (CoinDesk 母公司)、Huobi 等等。该项目剑指 Twitter,旨在基于新的工作量证明和区块链构建,创建一个 Twitter 的去中心化替代方案。尽管有些诸多争议,BitClout 自推出后仍在经历着疯狂生长。在平台运行了一段时间之后,多位推特名流「认领」BitClout 账号,逐渐带来了财富效应。这使得 BitClout 快速出圈,与曾经昙花一现的「区块链社交媒体」项目们拉开差距。「ScriptMoney」回顾了 BitClout 近段时间的发展,根据他的观察, BitClout 将传统的项目的「风投、炒作、上市、市值管理、交易」整个流程的速度急剧加快。对于社区参与人来说,一人完成全流程所有环节,每天新币种超过几十个,进化速度极快。早期 BitClout 假冒账号频出、投机者众多、产品不完善的情况,表现出了这一社区币的「野蛮生长」阶段的弊端,让 BitClout 的发展笼罩着负面的阴影。但值得肯定的是,近几周 BitClout 的生态也表现出了积极的一面:由于省去了发币的步骤,BitClout 平台相关项目方的开发者们在无任何激励的情况下,自发地建设平台。上线一个多月后,该平台上的社区、行情、媒体宣传、数据分析、论坛、浏览器插件、Swap、UI 设计、邮件订阅、打新提醒、专业 OTC 等第三方服务不断涌现。倘若与公链做对比, BitClout 平台中对于开发者引入几乎没有成本。(BitClout 中文社区:平台每日活跃度持续上升)根据观察,3 月底,BitClout 的流量与用户活跃度大大增加,平台开始出现了卡顿、延迟等现象。同时,脚本已经变多,众多社区分享的打新策略收益已经越来越低。有分析认为,目前的 BitClout 正在向「认真运营个人账号、进入价值投资阶段」的方向发展。从数据上来看,BitClout 「名人效应」所带来的财富神话仍在时不时上演。用户提前购入可能会入驻 BitClout 的推特名人,等账号被认领之后,一些币种往往出现几倍或十几倍的涨幅。莱特币创始人李启威认证 BitClout 账号后,李启威币价格曾从 2000 美元一度暴增至 7000 美元。美国女演员 Pamela Anderson、海外著名男网红 Blake Gray 、查理大帝等人的认领与入驻,也在海外社区掀起了不少积极的声音。有趣的是,以太坊创始人 Vitalik Buterin 并未认证 BitClout ,但其名人币价格已经高达到 1.5 万美元。在 OTC 市场上,BitClout 的行情目前约在 6-7 折左右,但名人币被指缺少其他功能或应用场景,风险仍存。行业内,「DeFi + 社交媒体」一直是众多开发者感兴趣的方向,在 DeFi 领域仍然受到散户炒作的强烈推动下,社区币的出现频率在加剧,社交媒体天然的与「代币价格」的联动性,给整个市场带来了不少想象力,也成为多位行业 KOL 的发力方向。对于创作者来说,社交币是否会成为下一个 NFT 呢?或许正在「实验中」的加密平台们终将给出一个答案。
声明:BroadChain Finance网站和App所发布的内容,均不构成任何投资建议。