上週聊到,以密碼貨幣派利是看似輕而易舉,實際上耗費整個產業十六年時間,才攻克金錢共識、錢包管理、手續費支付及雙方私隱四大難題。諷刺的是,成功解決四大難題,卻也因此產生了新的問題,導致我自費向麻瓜派利是科普,大部份被一位「聰明人」Bob 領光。
話說,除了由 Fluidkey 贊助在 DHK 郵報派發利是,為把握農曆新年帶更多人上鏈,我還自費掏了 100 鎂,以義守書店的名義在 Threads 分享連結,邀請 100 位麻瓜領 1 鎂利是,踏進 Web3 的世界。
推廣善意遇上女巫攻擊
有別於 DHK 郵報的讀者群,義守書店的受眾跟密碼貨幣風馬牛不相及,而且派錢這種可疑行為受演算法打壓,派利是反應並不活躍,訊息發出當天斷斷續續有二十來人領取後,第二天只剩六人,第三天更只得一位。
我本來就非常 i,況且又不是非要把利是派出去不可,也就沒進一步推,任由活動持續,但到了第四天接近中午,穩定地每 2-3 分鐘就出現一次領取,直至把 100 鎂全部取光。這種不多也不少,不會隔太久,也不會同一分鐘有兩次的節奏,屬於自然分佈的機率無限接近零,基本上可以肯定源於同一個人,全是 Bob 的所為。
沿用上週我在街頭派 1 鎂紙幣的例子,這就好像,大部分途人都不鳥我,但有一位相反,拿完一封利是,到了街角就回頭再「經過」一次,多取一封,不斷重覆,直到利是派光為止。
如果你說我很笨,我不會否認,反正打從我自掏 100 鎂出來派那一刻,甚至是八年前開始以密碼貨幣派利是起,就注定了我是笨蛋,公民教育明明是政府的責任,為甚麼要由我這個窮光蛋免費寫文章,還要「淪落」得自掏錢包派錢?
但我雖然笨,卻也不至於沒預計到會有 Bob 以女巫攻擊(sybil attack)來擼羊毛,況且這在 web3 世界本來就很常見。在大年初二派發首批利是之前,我就已經問過 Fluidkey,有沒有機制防止一人多次領取同一批利是,對方表示有,當時我不以為然,不是不相信,而是心知這些機制只能防君子不能防小人,尤其 Fluidkey 定位私隱錢包,假如用力太猛,為了防止女巫攻擊而加入手機號碼驗證等機制,造成不便事小,本末倒置,犧牲私隱事大;也因此,儘管 Fluidkey 的機制沒能堵截 Bob 的女巫攻擊,在我看來也是非戰之罪。
真要說 Fluidkey 有甚麼改善空間的話,那是把每封利是的最低金額降至十美分甚至更低。派出 100 封利是時我本想設平均遠低於一鎂的隨機金額,畢竟活動的出發點是帶人上鏈,參與者多數不是為了那點錢,純粹是個「利利是是」、人人有份的遊戲;從 0 到 0.1,哪怕只是到 0.01,都是無限倍的轉化,零錢金額不太影響一般人的參與,卻能大大降低潛在擼羊毛用戶的經濟誘因。可惜,Fluidkey 卻把利是金額下限設為一鎂,令我只能掏 100 鎂來派 100 封,結果招來女巫攻擊。
技術的 feature,應用的 bug
說到這裏,是時候談談 Fluidkey 私隱錢包的運作。以下只作簡單介紹,畢竟現在要 AI 解釋概念太容易了,我犯不著參一腳。
跟大眾以為密碼貨幣保障私隱的概念相反,「傳統」的密碼貨幣錢包轉帳就像雙方以 Twitter 對話,大大方方把交易記錄公開給全世界看。舉例,如果 DHK 貼出錢包地址請讀者支持,只要到 Etherscan 搜一下那地址,餘額與歷史上所有抖內記錄都會一目了然,而且當 Alice 轉帳到 DHK 錢包,也會暴露自己的錢包地址,換言之也包括所有歷史交易。
Fluidkey 的神奇之處,在於讓用戶簡便地以生成及管理無限個錢包地址(背後的技術是 ERC-5564),透過 ENS 地址如 ckxpress.fkey.id,轉帳方每次打開都會獲得全新的隱身地址(stealth address),不能查閱歷史交易,更沒法關聯我的其他錢包,除非我把多個隱身地址的資產合併。
除此以外,透過帳戶抽象化(account abstraction,ERC-4337),Fluidkey 帳戶採用智能合約錢包,用戶除了不再需要保管助記詞,以 Passkey 就能管理錢包,還能以 ETH 以外的資產如 USDC 支付手續費,不但令轉帳簡便得多,亦進一步加強私隱,因為若要先打入 ETH 到每個隱身地址支付 gas fee 才能轉帳,到頭來還是能透過 ETH 的來源,輕易關連起各個隱身地址。
利用帳戶抽象化及隱身地址,Fluidkey 一次過解決了除金錢共識外、派錢面對的三大難題,更入鄉隨俗,開發出利是功能,十分聰明,但 Fluidkey 的核心定位是私隱錢包,而派利是畢竟是社交行為,私隱和社交之間的張力,難免令群發利是的體驗進退失據。
相對而言,首創紅包功能的微信,首先是社交應用,然後才加上錢包,再推出紅包功能,大家在群組中完全看到誰發紅包、誰領紅包,看誰的運氣特別好,嘲笑一下抽到金額最小的用戶,金錢的交易只是包裝,用戶的互動才是重點,而這一切互動,在講究私隱的錢包中,全都被(合理地)放棄掉。
容許用戶使用多款設備、以多個郵箱開立多個帳戶,而每個帳戶又能生成多個隱身地址的 Fluidkey,十分稱職,但在派利是這個應用場景,註定不可能做到社交應用般成功,與其說是未能分辨身分的 bug,不如說是成功保護私隱的 feature。
至於 Bob,這次派利是本來就主要靠「良心機制」維護,連駭都說不上,況且我的錢本來就是已出之物,並沒有對我構成金錢損失。然而,Bob 剝奪了其他人學習、進入 web3 大門的機會;再說,花上 150 分鐘獲得 70 鎂,「時薪」才 28 鎂,還得用上 70 個錢包地址,要麼全用於不到 1 鎂的交易,至少花 70 次去花掉,要麼又要耗費時間化零為整,兼且容易被鏈上追蹤到身分,與其這麼累,何不把機會留給麻瓜,或撰文拍片分享這次擼羊毛的經驗給社群借鑒,做個更有貢獻的人?
自費給 100 位麻瓜派 1 USDC,卻被人用 70 個地址領光…
技不如人,不值可憐
私隱錢包本來就不該這樣用,活該
誰讓你自己掏腰包,錢多人傻
70 鎂 bounty 給白帽駭客,化算
都不是,留言安慰你
p.s. Gemini 最擅長阿諛奉承,平日我寫好郵報會問 AI 意見,它幾乎每次把文章捧得天上有地下無似的,搞得我幾乎以為是真的。然而,當有時狀態不算好,比如今期,自己都覺得寫得一般,它卻還在吹捧,我就知道是「顧客永遠是對的」演算法作祟了,於是我跟 Gemini 說「請找出我這篇觀點中的邏輯漏洞,並扮演一個極端反對者來挑戰我」,結果它放狠話,痛陳文章邏輯漏洞、技術推諉、社交悖論、文化霸權四宗罪⋯⋯為甚麼就不能放聰明點,儘管我說挑戰我,也裝作看不見,只列出一些小問題就好?由此可見,AI 就是及不上人類聰明。
發佈留言