Perché il phishing è così facile da avere successo in Web3?
non è perché gli utenti siano troppo stupidi, né perché gli hacker siano così bravi.
Ma questo sistema, fin dall'inizio, ha lasciato la 'costa di comprensione della sicurezza' agli utenti.
Qualche giorno fa un vecchio amico nel gruppo ha avuto un problema.
Ho cliccato su una nuova autorizzazione del protocollo, sembrava tutto normale, anche l'interfaccia utente era abbastanza ben fatta.
Risultato: in meno di dieci secondi, gli asset del portafoglio sono stati svuotati.
In Web3 queste cose sono molto comuni, oltre a stare attenti e stare attenti, non abbiamo altro modo.
Ma a dire il vero, ora quegli contratti proxy, il trasferimento di autorizzazioni, le chiamate offuscate,
Non parliamo nemmeno degli investitori al dettaglio, anche i normali sviluppatori devono stare attenti per un po'.
La questione è in realtà molto semplice:
Perché un sistema deve far capire agli utenti il codice per garantire la sicurezza?
La logica attuale di Web3 è la seguente:
La tua firma = autorizzazione
Contenuto autorizzato = completamente pubblico
Costo di comprensione = a carico dell'utente
Sembra molto “decentralizzato”, ma significa anche che il rischio è decentralizzato.
Recentemente, mentre leggevo il white paper di@MidnightNetwork , ho scoperto che in realtà sta cercando di modificare questa logica di base.
La sua tecnologia principale non è solo ZK (prove a conoscenza zero),
Ma è la combinazione di tre cose:
Divulgazione selettiva + protezione dei dati programmabile + modello di risorse a doppio livello.
1. Divulgazione selettiva (Selective Disclosure).
Sulle blockchain tradizionali, tutti i dati sono pubblici di default. E la logica di Midnight è l'opposto:
Privato di default, solo la parte che dichiari attivamente sarà resa pubblica.
Dietro questo c’è l’uso delle prove a conoscenza zero (ZK). In termini semplici: puoi dimostrare che “hai ragione”, ma non devi dire agli altri “cosa hai fatto esattamente”.
Ad esempio, per la verifica dell'identità: su una blockchain normale, devi inviare informazioni complete; su$NIGHT , devi solo dimostrare che “soddisfi i requisiti”. Questo non è solo privacy, ma anche confini di sicurezza.
2. È protezione dei dati programmabile (Programmable Data Protection).
Questo punto è molto importante, risolve il problema della “trasparenza dei permessi”.
Il problema attuale dei contratti è:
Hai firmato, ma non sai come verranno utilizzati i tuoi permessi.
E il design di Midnight è:
Gli sviluppatori devono scrivere chiaramente:
quali dati verranno utilizzati e quali saranno resi pubblici. In altre parole, i permessi non sono più “impliciti”, ma devono essere “dichiarati esplicitamente”.
Il cambiamento che questo porta è:
Gli aggressori hanno difficoltà a “nascondere il percorso dei permessi” attraverso logiche complesse, perché il sistema stesso non consente l'esistenza di uno spazio vago.
3. È il suo modello economico: NIGHT + DUST.
Sulle blockchain tradizionali, per ogni transazione devi pagare il Gas, e il Gas è pubblico. Questo significa che: il tuo percorso comportamentale, il tempo, l'importo possono essere tracciati.
Midnight ha scomposto questa questione:
NIGHT: token pubblici (governance, ricompense
DUST: risorse private (per le transazioni)
DUST ha alcune caratteristiche chiave: non trasferibile, si degrada, utilizzato solo per eseguire operazioni.
Questo significa che le transazioni non espongono più direttamente le azioni finanziarie. Gli altri non possono risalire alla tua logica operativa attraverso costi e percorsi.
Dal punto di vista tecnico, questi tre punti formano effettivamente un ciclo chiuso:
I dati sono nascosti di default (ZK)
I permessi devono essere dichiarati (protezione programmabile)
Le tracce comportamentali sono attenuate (meccanismo DUST)
Se un giorno in futuro, “un clic e il portafoglio viene svuotato” diventa meno comune, probabilmente non è perché gli utenti siano diventati più intelligenti, ma perché il sistema ha finalmente iniziato a prendersi parte della responsabilità per gli utenti.