Coinbase力推的XMTP被攻击者利用,Web3实现跨应用通讯还要多久?
Coinbase推XMTP,被攻击者利用,Web3跨应用通讯何时实现?
XMTP与Coinbase Wallet : Web3领域的社交软件之路还有多远?
9月20日,区块链安全公司慢雾(MistTrack)在社交媒体上发布了一则消息,称Coinbase Wallet与Web3消息网络协议XMTP进行了集成。只要用户打开他们的钱包地址的消息网络,就有可能收到XMTP协议发送的消息,可惜的是,许多攻击者正利用这一功能向钱包用户发送带有钓鱼链接的消息。这个事件引发了人们对于XMTP协议安全性的质疑,我们距离真正放心地使用Web3领域的社交软件还有多远?
攻击者利用漏洞发送钓鱼链接
据报道,一些用户在社交媒体平台上质问XMTP官方,表示他们每天都收到垃圾邮件推送。这种质疑在2个多月之前已经出现过。当时,Coinbase Wallet官方发布了一段视频宣布与开源通讯网络XMTP进行了集成,开启了钱包地址之间的即时通讯。许多加密爱好者对此表示疑问:“聊天内容加密了吗?”、“Coinbase Wallet的技术如何保证消息安全?”尽管Lens Profile官方曾表示,所有消息都是端到端加密的,只能通过钱包地址解密,且消息是在链下发送的,不会产生任何矿工费用,但是从这次事件中可以看出,加密行业的用户对于XMTP底层协议仍存在不确定性。
XMTP目前已经在更广泛的行业生态中渗透,除了Coinbase Wallet,Web3社交图谱协议Lens Protocol也在去年11月宣布与XMTP进行了集成,为整个Lens生态提供安全且私密的个人资料间私信服务。自2022年初推出以来,XMTP网络已经生成了超过100万个XMTP收件箱,并发送了超过30万条私信。Lens和Coinbase Wallet的加入为其输入了大量早期用户。如果这个安全问题不能得到及时解决,那么这些充满风险的钓鱼链接和毫无意义的垃圾邮件就有可能随时出现在数万名用户的生活中。
跨应用实时聊天在Web3中的实现距离还有多远?
事实上,Web3行业一直缺乏原生、有潜力且统一的社交工具。如果说微信、Telegram等是Web2时代的核心社交软件,那么Web3时代的社交战场尚未确定终局。从XMTP底层协议的架构和功能上看,Web3的社交软件与Web2有一个重要的区别,那就是人与人之间可以进行“跨应用实时聊天”。就像在微信里与支付宝商家进行聊天,或与携程卖家询价一样。
当前来看,这种功能在Web2时代无法真正实现。用户被分散在多个以App为载体的界面中,用户体验非常碎片化。而XMTP正是因为有潜力解决这些问题,才吸引到大量的投资。2021年9月1日,XMTP宣布完成了2000万美元的A轮融资,由A16Z领投,Coinbase Ventures、Not Boring Capital等基金和天使投资人参与。
- 上海区块链周的感受是:大陆的Web3技术在阳光下稳健前行,而阴暗势力则...
- 肖风在万向峰会上发表了题为《Web3.0与香港特区虚拟资产政策宣言》的演讲。
- 肖风在万向峰会上的演讲全文:Web3.0与香港特区虚拟资产政策宣言
那么,XMTP能成为Web3社交领域基础设施建设的领导者吗?
具体而言,XMTP是一个通用的Web3通信协议和网络,支持链上地址之间的端到端加密通信。开发者无需许可即可将XMTP SDK集成至Dapp中,实现应用内的私信和通知功能。在XMTP协议中,消息收件箱(DM)与用户的以太坊地址绑定在一起。这意味着用户可以通过多个不同的前端应用收发通知,可以随时将所有的交互数据(包括关注、发布内容和私信)迁移至其他应用中,前提是这些应用也集成了XMTP协议。比如前面提到的Coinbase Wallet和Lens Protocol用户之间的实时聊天场景,就是由XMTP协议实现的。
当然,普通用户无法直接感知到XMTP的存在,因为XMTP面向的是开发者用户。但其中的开发者用户,如Coinbase Wallet和Lens Protocol等,有着庞大的用户基础。因此,这两者的用户基本可以等同于XMTP的用户。目前来看,用户对XMTP的使用体验反响普遍不错,称之为“相对流畅”、“跨应用的信息发送和接收的时效性比较好”。但是,也有人做过实验发现,“试验对象是随机选择的,并且可以直接发送私信而无需对方同意,这就对隐私性构成了考虑(与骚扰短信有何区别),但对于实施者来说更加方便和准确”。
因此,在当前Web3的SocialFi领域中,开发者需要更多地思考如何堵住漏洞和缺陷,保护用户的账户安全和隐私。同时,尽最大可能扩大生态系统,避免不法分子利用去中心化初心产生更大的问题。从这个角度来看,XMTP在Web3社交叙事中起到了一定的开头作用,但离达到终点还有很长的路要走。
