¿Por qué es tan fácil tener éxito con el phishing en Web3?
no es porque los usuarios sean demasiado tontos, ni porque los hackers sean tan hábiles.
Pero este sistema, desde el principio, ha dejado que los usuarios manejen el 'costo de comprensión de la seguridad'.
Hace unos días, un hermano en el grupo tuvo un problema.
Hice clic en una nueva autorización de protocolo, parecía normal, y la interfaz estaba bastante bien hecha.
Al final, en menos de diez segundos, los activos de la billetera fueron vaciados.
En Web3, este tipo de cosas son muy comunes; aparte de tener mucho cuidado, no hay otra forma.
Pero, para ser honesto, ahora esos contratos proxy, la reenvío de permisos y las llamadas ofuscadas,
No hables de los pequeños inversores, incluso los desarrolladores normales tienen que estar atentos durante un buen rato.
La pregunta en realidad es muy simple:
¿Por qué un sistema necesita que los usuarios entiendan el código para garantizar la seguridad?
La lógica de Web3 ahora es así:
Tu firma = autorización
Contenido autorizado = totalmente público
Costo de comprensión = carga del usuario
Parece muy “descentralizado”, pero eso también significa que el riesgo también está descentralizado.
Recientemente, mientras leía el libro blanco de @MidnightNetwork , descubrí que en realidad está intentando cambiar esta lógica subyacente.
Su tecnología central no es solo ZK (prueba de conocimiento cero),
Sino que es una combinación de tres cosas:
Divulgación selectiva + Protección de datos programable + Modelo de recursos de doble capa.
1. Divulgación selectiva.
En la cadena tradicional, todos los datos son públicos por defecto. Pero la lógica de Midnight es al revés:
Privacidad por defecto, solo la parte que declares activamente será pública.
Detrás de esto se utiliza la prueba de conocimiento cero (ZK). En términos simples: puedes demostrar que “tienes razón”, pero no necesitas decirle a los demás “exactamente qué hiciste”.
Por ejemplo, en la verificación de identidad: en la cadena común, debes enviar información completa; en $NIGHT , solo necesitas probar “cumplo con los requisitos”. Esto no solo es privacidad, sino también un límite de seguridad.
2. Es la protección de datos programable.
Este punto es muy importante, resuelve el problema de la “falta de transparencia en los permisos”.
El problema actual de los contratos es:
Firmas, pero no sabes cómo se utilizarán tus permisos.
Y el diseño de Midnight es:
Los desarrolladores deben escribir claramente:
Qué datos se utilizarán y cuáles serán públicos. En otras palabras, los permisos ya no son “implícitos”, sino que deben ser “declarados explícitamente”.
El cambio que esto trae es:
Los atacantes tienen dificultades para “ocultar la ruta de permisos” a través de lógicas complejas, porque el sistema en sí no permite que exista tal espacio difuso.
3. Es su modelo económico: NIGHT + DUST.
En la cadena tradicional, tienes que pagar Gas por cada transacción, y el Gas es público. Esto significa: tu camino de comportamiento, tiempo, cantidad, puede ser rastreado.
Midnight ha desglosado este asunto:
NIGHT: tokens públicos (gobernanza, recompensas
DUST: recursos de privacidad (para transacciones)
DUST tiene algunas características clave: no transferible, se deprecia, solo se utiliza para ejecutar operaciones.
Esto significa que las transacciones ya no exponen directamente el comportamiento de los fondos. Otros no pueden deducir tu lógica de operación a través de tarifas y caminos.
Desde un punto de vista técnico, estos tres puntos en realidad forman un ciclo cerrado:
Los datos están ocultos por defecto (ZK)
Los permisos deben ser declarados (protección programable)
La trayectoria del comportamiento se debilita (mecanismo DUST)
Si algún día en el futuro, las situaciones de “un clic y se vacía la billetera” se reducen, entonces probablemente no es porque los usuarios se hayan vuelto más inteligentes, sino porque el sistema finalmente ha comenzado a asumir parte de la responsabilidad por los usuarios.