作者:Sharon,Luccy,BlockBeats
9 月 20 日,慢雾 MistTrack 在社交媒体上发文表示,Coinbase Wallet 已于近期与 Web3 消息网络协议 XMTP 集成,只要用户的钱包地址打开消息网络,就可能收到消息协议发送的任何信息。而慢雾发现许多攻击者利用此功能向钱包用户发送带有钓鱼链接的消息。
在与 Coinbase Wallet 集成仅 2 个多月后的现在,XMTP 便已受到用户对于其安全性的质疑。我们距离真正放心使用 Web3 领域的社交软件还有多远?
攻击者利用漏洞发送钓鱼链接
本次事件中,部分用户在社交媒体平台发文质问 XMTP 官方,表示自己每天都在收到垃圾邮件推送。
这种质疑声在 2 个多月前就已出现,当时 Coinbase Wallet 官推发布视频宣布与开源通讯网络 XMTP 集成,合作开启钱包地址之间的即时通讯。不少加密爱好者对此提出疑问:「聊天内容加密了吗?」「Coinbase Wallet 的技术将如何脱颖而出,以及消息安全的保证是什么?」
尽管 Lens Profile 官方曾表示,所有消息都是端到端加密的,只能通过钱包地址解密,且消息是在链下发送的,不会产生任何 Gas 费用;但从本次事件中可以看出,加密行业的用户对 XMTP 底层协议尚存不确定性。
本次事件中被用户质疑的 XMTP,事实上是 Coinbase Wallet 的底层协议。目前,XMTP 当前已经渗透到更大范围的行业生态中,因为除了 Coinbase Wallet,Web3 社交图谱协议 Lens Protocol 官方也于去年 11 月宣布与 XMTP 集成,为其整个 Lens 生态提供安全且私密的 Profile 间私信服务。自 2022 年初推出以来,XMTP 网络中已生成超 100 万个 XMTP 收件箱,发送了超过 30 万条 DM,Lens 与 Coinbase Wallet 的加入,更是为其输入大量早期种子用户。
如果这个问题不能及时得到解决,那么这些充满风险的钓鱼链接与毫无意义的垃圾邮件,便有可能随时随地出现在数万名用户的生活中。
真正实现跨应用实时聊天还有多远?
事实上,Web3 行业一直缺乏原生的、有潜力的、统一的社交工具。如果说微信、Telegram 等是 Web2 时代的核心社交软件,那么 Web3 时代的社交战场则尚未敲定终局。而从 XMTP 底层协议的架构及展现出的功能来看,Web3 的社交软件与 Web2 时代的核心区别,最直观的体现便在于人与人之间可以「跨应用实时聊天」。这就好比在微信里跟支付宝的商家聊天、与携程的卖家询价一样。
当前来看,这种功能在 Web2 时代无法真正实现。用户被分散在多个不同的以 App 为载体的界面中,体验非常碎片化。而 XMTP 正是因为有着能解决这些痛点潜力,才能吸引到大量投资。2021 年 9 月 1 日,XMTP 宣布完成 2000 万美元 A 轮融资,a16z 领投,Coinbase Ventures、Not Boring Capial 等基金与天使投资人参投。
那 XMTP 能成为打开 Web3 社交领域基础设施建设的第一人吗?
具体而言,XMTP 是一个通用的 Web3 通信协议和网络,支持链上地址之间端到端加密通信,开发者无需许可即可将 XMTP SDK 集成至 Dapp 中,实现应用内 DM 和通知功能。在 XMTP 协议中,消息收件箱(DM)是与用户的以太坊地址绑定在一起的,这意味着用户可以透过多个不同的前端应用收发自己的通知,随身携带(所谓便携式)并可将所有的交互数据(包括关注、发布内容和 DM)随时迁移至其他应用中,前提是这些应用同样集成了 XMTP 协议,比如前文提到的 Coinbase Wallet 和 Lens Protocol 用户互通实时聊天的场景,就是由 XMTP 协议实现的。
当然,前端用户无法直接感知到 XMTP 的存在,因为 XMTP 面向的都是开发者用户。但其开发者用户,例如 Coinbase Wallet 和 Lens Protocol,都有着极为庞大的用户基础,因此基本可以将这两者的用户等同于 XMTP 的用户。目前来看,用户使用体验反响普遍不错,「相对流畅」「跨应用的信息发送和接收的时效性比较好」。但在硬币的另一面,有人曾做过实验发现,「试验的对象是随机找的,并且不用经过对方同意就可以直接聊天,这对隐私性的考虑是否欠缺(和骚扰短信有何区别),但对实施者更加便利和精准」。
因此,当前 Web3 的 SocialFi 领域中,开发者们需要更多思考如何堵住缺陷与漏洞、保护用户的账户安全与隐私,同时尽最大可能扩展生态,避免去中心化的初心被不法分子利用,从而衍生出更大的麻烦。从这一点来看,XMTP 在 Web3 的社交叙事,虽然开了好头,但离走到终点距离还很遥远。
查看更多