每次做KYC我都贼烦。烦到后来直接把身份证正反面、手持照片全存手机相册里,省得每次重新拍。但就算存好了也没用,真到认证的时候还是得歪着头挤眉弄眼对着摄像头晃半天,系统反复跟你说请保持面部在框内,来回折腾好几次才能过。
有天闲着我认真数了一下,自己到底做过多少次这玩意儿。币安一次,隔壁所一次,某个DEX一次,再加上银行券商,身份证正反面加手持照片,保守交出去七八份了。每一份都带着我的脸、证件号、真实住址,分别躺在七八个不同平台的数据库里。之前想去Buildpad打个新,直接不让用,也不说具体原因,那种感觉就像被歧视了。可反过来想,就算让你过了,心里也没底又多一个地方存着你的东西,又多一个泄露的口子。
去年在X上刷到某交易所数据泄露,几百万用户KYC资料被打包挂暗网,一份才几美分。我第一反应不是恐慌,是愤怒这不就是监守自盗吗?用户老老实实把最私密的资料交上去,平台自己没守住,你甚至不确定是真没守住还是有人从里面捞了一手。中东那边更离谱,沙特阿联酋的交易所、银行、政务系统各搞各的KYC,互相不通,一个人在迪拜正常生活,可能得做十几次实名认证,每做一次就多撕开一个风险敞口。
问题卡在哪?不是KYC本身有错,是现在的模式从根上就是每到一个新地方就把原始资料再交一遍。你的身份证照片像复印件一样被到处散发,每多一份拷贝就多一分风险。但验证你身份这件事本身,根本不需要这么多份原件。
想明白这层之后,我回头看@SignOfficial 白皮书里那套NewIDSystem,就觉得它确实是冲着这个最拧巴的地方去的。
它的核心逻辑其实就一句话:做一次KYC,生成一个链上的身份attestation,之后不管你去哪个平台,对方只需要调用这个验证结果,确认这个人通过了合规认证就行,不需要你再把身份证正反面重新交一遍。你的原始资料不再被复印和散发,别人拿到的只是一个已验证的结论,不是你的脸和证件号。
再往下拆,其实也不复杂。VC可以理解成一张不可伪造的数字认证卡,DID更像你在链上的独立身份锚点,不挂在任何一家平台名下,是你自己的。这样一来,你的身份证明就不再是躺在别人服务器里的复印件,而更像是你自己手里握着的一张证明,只在需要的时候出示结果。
但光有证明还不够,谁来管这个证明是谁发的、靠不靠谱?这就是Sign里TrustRegistry在干的事。它本质上就是一层准入规则,管哪些机构有资格发证,哪些平台有资格来验证。不是谁都能来查你,也不是谁随便签个章就算数。
这几层叠起来之后,逻辑就和现在的KYC完全不一样了。现在是你去求每个平台让你过,把资料一份一份交出去;Sign这套更像是你自己握着证明,平台来请求调用,而且调用的还只是结果,不是原件。主客关系一下就反过来了。
这也是我觉得它和很多老DID叙事不一样的地方。以前不少项目也在讲身份归用户,但很多只解决了我怎么证明我是我,没解决谁有资格验我和这个结果能不能被别的平台接着用。Sign是把attestation的签发、验证、流通尽量串成一条完整链路,不是只做其中一段。
说到$SIGN 代币怎么承接,其实顺着这个场景就能想明白。全球加密用户现在有几个亿,每个人做过的不止一次KYC。如果做一次、反复调用这个模式能跑起来,那以后你在A平台验过身份,去B平台要调一次,去C平台又要调一次,同一个人会在不同场景下被不断验证。
这个频次是跟着真实业务走的。新注册一个交易所要调用,参与一次打新要调用,跨境金融场景要调用,未来如果RWA真起来了,链上资产发行和交易环节的合规验证更是绕不开。这样一来,$SIGN承接的就不是一句空话,而是这些验证动作背后的真实消耗。
我手机相册里现在还存着那些KYC用的照片,每次翻到都觉得别扭。Sign这套体系全面落地肯定还需要时间,但至少让我看到一种可能身份验证这件事,本来就不该是把底裤脱给每个门卫看一遍才能进门。能证明你是你就够了,没人需要留一份你的复印件。
