menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

區塊鏈

Coinbase力推的XMTP被攻擊者利用,Web3實現跨應用通訊還要多久?

BlockBeats 律動財經 2023-09-21 14:00

cover image of news article
律動財經圖片

9 月 20 日,慢霧 MistTrack 在社交媒體上發文表示,Coinbase Wallet 已於近期與 Web3 消息網路協議 XMTP 集成,只要用戶的錢包地址打開消息網路,就可能收到消息協議發送的任何資訊。而慢霧發現許多攻擊者利用此功能向錢包用戶發送帶有釣魚鏈接的消息。

在與 Coinbase Wallet 集成僅 2 個多月後的現在,XMTP 便已受到用戶對於其安全性的質疑。我們距離真正放心使用 Web3 領域的社交軟體還有多遠?

攻擊者利用漏洞發送釣魚鏈接


本次事件中,部分用戶在社交媒體平台發文質問 XMTP 官方,表示自己每天都在收到垃圾郵件推送。

這種質疑聲在 2 個多月前就已出現,當時 Coinbase Wallet 官推發布影音宣布與開源通訊網路 XMTP 集成,合作開啟錢包地址之間的即時通訊。不少加密愛好者對此提出疑問:「聊天內容加密了嗎?」「Coinbase Wallet 的技術將如何脫穎而出,以及消息安全的保證是什麼?」

儘管 Lens Profile 官方曾表示,所有消息都是端到端加密的,只能通過錢包地址解密,且消息是在鏈下發送的,不會產生任何 Gas 費用;但從本次事件中可以看出,加密行業的用戶對 XMTP 底層協議尚存不確定性。

本次事件中被用戶質疑的 XMTP,事實上是 Coinbase Wallet 的底層協議。目前,XMTP 當前已經滲透到更大範圍的行業生態中,因為除了 Coinbase Wallet,Web3 社交圖譜協議 Lens Protocol 官方也於去年 11 月宣布與 XMTP 集成,為其整個 Lens 生態提供安全且私密的 Profile 間私信服務。自 2022 年初推出以來,XMTP 網路中已生成超 100 萬個 XMTP 收件箱,發送了超過 30 萬條 DM,Lens 與 Coinbase Wallet 的加入,更是為其輸入大量早期種子用戶。

如果這個問題不能及時得到解決,那麼這些充滿風險的釣魚鏈接與毫無意義的垃圾郵件,便有可能隨時隨地出現在數萬名用戶的生活中。

真正實現跨應用實時聊天還有多遠?

事實上,Web3 行業一直缺乏原生的、有潛力的、統一的社交工具。如果說微信、Telegram 等是 Web2 時代的核心社交軟體,那麼 Web3 時代的社交戰場則尚未敲定終局。而從 XMTP 底層協議的架構及展現出的功能來看,Web3 的社交軟體與 Web2 時代的核心區別,最直觀的體現便在於人與人之間可以「跨應用實時聊天」。這就好比在微信里跟支付寶的商家聊天、與攜程的賣家詢價一樣。

相關閱讀:《詳解 Coinbase Wallet 新功能背後:XMTP 的去中心化商業潛力》

當前來看,這種功能在 Web2 時代無法真正實現。用戶被分散在多個不同的以 App 為載體的界面中,體驗非常碎片化。而 XMTP 正是因為有著能解決這些痛點潛力,才能吸引到大量投資。2021 年 9 月 1 日,XMTP 宣布完成 2000 萬美元 A 輪融資,a16z 領投,Coinbase Ventures、Not Boring Capial 等基金與天使投資人參投。

那 XMTP 能成為打開 Web3 社交領域基礎設施建設的第一人嗎?

具體而言,XMTP 是一個通用的 Web3 通信協議和網路,支持鏈上地址之間端到端加密通信,開發者無需許可即可將 XMTP SDK 集成至 Dapp 中,實現應用內 DM 和通知功能。在 XMTP 協議中,消息收件箱(DM)是與用戶的以太坊地址綁定在一起的,這意味著用戶可以透過多個不同的前端應用收發自己的通知,隨身攜帶(所謂便攜式)並可將所有的交互數據(包括關注、發布內容和 DM)隨時遷移至其他應用中,前提是這些應用同樣集成了 XMTP 協議,比如前文提到的 Coinbase Wallet 和 Lens Protocol 用戶互通實時聊天的場景,就是由 XMTP 協議實現的。

當然,前端用戶無法直接感知到 XMTP 的存在,因為 XMTP 面向的都是開發者用戶。但其開發者用戶,例如 Coinbase Wallet 和 Lens Protocol,都有著極為龐大的用戶基礎,因此基本可以將這兩者的用戶等同於 XMTP 的用戶。目前來看,用戶使用體驗反響普遍不錯,「相對流暢」「跨應用的資訊發送和接收的時效性比較好」。但在硬幣的另一面,有人曾做過實驗發現,「試驗的對象是隨機找的,並且不用經過對方同意就可以直接聊天,這對隱私性的考慮是否欠缺(和騷擾短信有何區別),但對實施者更加便利和精準」。

因此,當前 Web3 的 SocialFi 領域中,開發者們需要更多思考如何堵住缺陷與漏洞、保護用戶的帳戶安全與隱私,同時盡最大可能擴展生態,避免去中心化的初心被不法分子利用,從而衍生出更大的麻煩。從這一點來看,XMTP 在 Web3 的社交敘事,雖然開了好頭,但離走到終點距離還很遙遠。

原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠

文章標籤


Empty