DeSo quiere tu frase inicial. Que vengan y se lo lleven

A última hora del domingo 9 de enero, el fundador de DeSo, Nader Al-Naji, anunció que su servicio de “redes sociales descentralizadas” actualizaría su Flow de inicio de sesión , que había sido ampliamente criticado. Pero los expertos argumentaron casi de manera uniforme que la actualización empeoraría enormemente la seguridad de los usuarios de DeSo e incluso socavaría la seguridad en todo el panorama emergente de la "Web 3".

DeSo (que anteriormente operaba como BitClout) es en principio un ejemplo de lo que podría llegar a ser la Web 3. El sistema se basa en una economía de tokens destinada a ayudar a los creadores de contenido a recibir pagos por su trabajo y a los usuarios a administrar sus activos de DeSo utilizando billeteras digitales análogas a MetaMask o Samourai. Otros sistemas de “tokens de creador”, en particular Roll y Rally, han seguido modelos relacionados.

Pero los críticos señalaron anteriormente que DeSo estaba incitando a los usuarios a participar en un comportamiento muy extraño y peligroso: ingresar la "frase inicial" de su billetera a través de una interfaz web para iniciar sesión en sus cuentas web de DeSo. Una frase inicial, a veces denominada "frase de recuperación", brinda acceso completo al contenido de una billetera a cualquiera que la conozca, y es imposible reemplazarla o restablecerla claramente una vez que está comprometida.

Debido a que son tan sensibles, la mejor práctica ampliamente aceptada para manejar frases iniciales es, literalmente, nunca ingresarlas en ninguna interfaz conectada a Internet, siendo un sitio web quizás la peor opción posible. La responsabilidad individual por la gestión de billeteras es clave para el concepto Web 3, y enseñar a los usuarios una buena seguridad será fundamental para el éxito general de la iniciativa.

Sigue leyendo: Nader Al-Naji (anteriormente conocido como 'Diamondhands') presenta un plan a largo plazo para BitClout Blockchain

Pero en lugar de abordar este problema fundamental con el uso de una frase inicial como inicio de sesión web, DeSo parece haber duplicado su apuesta: la nueva característica alentaría a los usuarios a entregar su frase inicial a Google Drive.

Esta supuesta solución fue recibida con un desprecio incandescente por parte de ejecutivos, ingenieros e inversores de Cripto de alto perfil; desprecio avivado con una incredulidad sardónica de que, sí, una supuesta operación Web 3 con una inversión de 200 millones de dólares de Andreessen Horowitz y otros defensores de primera línea de la Web 3 en realidad hizo que .

Figuras importantes, incluido el director ejecutivo de Sino Global Capital, Matthew Graham, parecían estar de acuerdo: usar la nube para almacenar frases iniciales que controlen potencialmente cientos de miles de dólares en Cripto es, a primera vista, tan estúpido como parece.

Quizás la perorata más enérgica en respuesta a la nueva “característica” de DeSo provino de Taylor Monahan, experto en ciberseguridad y director ejecutivo del desarrollador de billeteras MyCrypto.

¿Por qué exactamente es tan indescriptiblemente malo pedir a los usuarios que ingresen la frase inicial de una billetera Cripto en una extensión web? Para carteras de software como Exodus o Electrum, una frase inicial es bastante análoga a la "clave privada" que otorga control directo de una única cuenta de Bitcoin en cadena. Se genera mediante un sistema automático y, a diferencia de, por ejemplo, una contraseña de Google, ni siquiera el desarrollador de la billetera puede ver la frase, ni restablecerla o recuperarla si se pierde.

Y una vez que alguien tiene la frase inicial de una billetera, puede simplemente robar su contenido, lo que Al-Naji admitió el domingo fue exactamente lo que le sucedió a un asombroso 10% de los primeros usuarios de DeSo.

Entonces, en términos de ciberseguridad, una frase inicial es casi tan sensible como los datos biométricos. La biometría forma la columna vertebral de seguridad de otro proyecto pseudo-criptográfico profundamente equivocado, Worldcoin de Sam Altman , que enfrentó duras críticas por su modelo por parte de expertos como Edward Snowden. Como señaló Snowden, los datos biométricos son peligrosos porque es imposible reemplazarlos una vez que han sido comprometidos. En cierto sentido, una frase semilla Cripto puede reemplazarse una vez que se ha filtrado, pero es un proceso oneroso que implica configurar billeteras completamente nuevas, y para cuando lo hagas, es posible que tu billetera comprometida ya se haya vaciado.

Sigue leyendo: Nader Al-Naji - Web 3 Social Media necesita blockchains dedicadas

En el sentido más estricto, esto significa que el inicio de sesión con frase inicial de DeSo es un riesgo inmenso y constante para los usuarios del sistema mismo. En particular, los ataques de phishing que imitan fielmente las páginas de inicio de sesión oficiales para capturar credenciales Cripto se han vuelto extremadamente generalizados. Esto ha llevado a importantes compromisos de los usuarios en plataformas como OpenSea y Coinbase. Pero las billeteras autohospedadas son mucho más difíciles de socavar cuando se usan correctamente. Los críticos argumentan que Al-Naji está haciendo un esfuerzo adicional para hacer vulnerables las billeteras de sus propios usuarios. (Las preguntas al equipo de DeSo sobre el papel específico de las frases iniciales en la plataforma DeSo se dirigieron al hilo del domingo de Al-Naji).

El planteamiento narcisista que Al-Naji dio a la cuestión sin duda irritó aún más a la gente. Los tweets de su anuncio establecieron una opción completamente falsa entre "gritar a los usuarios que lo hagan mejor" u ofrecer un Flow de seguridad fundamentalmente inferior. Pero el problema inicial fue enteramente el diseño de DeSo, no la pereza del usuario. La nueva “solución” parece haber sido elegida por las apariencias más que por su efectividad: Al-Naji y su equipo no quieren molestar a los usuarios con la descarga de una billetera de software segura, pero T pueden admitir el error al revertir sus propios errores anteriores. decisión de diseño. En cambio, obtuvimos una clásica apuesta doble.

Por mucho que DeSo esté bailando con el diablo aquí, el problema mucho más importante para los críticos parece ser que su Flow de inicio de sesión con frase inicial capacitará a los usuarios en prácticas de seguridad deficientes. Eso podría provocar aún más malentendidos y tragedias en todo el naciente ecosistema de la Web 3.

"DeSo me enfurece porque reconocen la responsabilidad de la billetera y al mismo tiempo ignoran deliberadamente todas las mejores prácticas básicas del libro", me dijo Monahan cuando busqué más información. “No se trata sólo de que almacenen secretos de forma insegura en el navegador o de que estén entrenando a los usuarios sobre que está bien ingresar secretos en cualquier sitio web antiguo, sino hasta qué punto llegan para defender sus acciones maliciosas.

"Esto plantea la pregunta: si servir a los usuarios no es una prioridad, ¿cuál es la motivación real de DeSo dentro del ecosistema Web 3?"

Esa es una crítica particularmente mordaz porque DeSo está muy entrelazada con las mismas entidades enfocadas en llevar la “Web 3” a la corriente principal (o al menos ganar dinero con el esfuerzo). En su encarnación inicial, cuando operaba y vendía tokens como BitClout, DeSo recaudó fondos de al menos 19 fuentes, incluidas Blockchain.com Capital, Arrington XRP Capital, Winklevoss Capital y, sobre todo, Andreessen Horowitz. Andreessen Horowitz ha defendido claramente la Web 3, incluso durante la reciente explosión anti-Web 3 de Jack Dorsey.

Por supuesto, estos fondos no controlan directamente las elecciones de los fundadores o las empresas en las que invierten. Pero esta no es la primera vez que DeSo amenaza con convertirse en una vergüenza para sus patrocinadores.

La debacle de Google Drive se produce después de otras medidas de DeSo que han sido ampliamente vistas con escepticismo o sospecha. Cerca de la cima de la lista está el diseño cuestionable de la recaudación de fondos inicial de DeSo, realizada como BitClout. La venta inicial de tokens CLOUT utilizó lo que se conoce como una "curva de vinculación" que, según los críticos, equivalía a un obsequio inusualmente generoso para los inversores privados de preventa (incluso para los estándares Cripto ).

BitClout también provocó ira por lo que algunos vieron como un desprecio arrogante por los derechos de propiedad individual y la Privacidad. Para crear perfiles en la primera versión del producto, BitClout buscó en Twitter las fotos de perfil de los usuarios y otros activos. Luego alentó a los usuarios a pagar por el privilegio de tomar el control de las cuentas BitClout creadas, sin su permiso, utilizando su propia propiedad intelectual.

Algunos usuarios pensaron que los perfiles eliminados se estaban haciendo pasar por ellos. El ex ejecutivo de marketing de Google, Adam Singer, describió la práctica como " una tontería de patrón oscuro hostil al usuario".

Como parte del cambio de marca a DeSo, el token CLOUT se cambió por deso. BitClout ahora se presenta como una aplicación única construida sobre la cadena de bloques DeSo. Pero hay razones importantes para creer que se trata de un cambio de marca por conveniencia, dada la amplia reacción contra BitClout por estos y otros temas. También es notable que, como lo describe Protos Media, en algunos casos el cambio de marca se informó erróneamente como si DeSo recaudara nuevos fondos, cuando transfirió los mismos $200 millones recaudados bajo el nombre BitClout.

Un hecho positivo es que Al-Naji parece haberse sentido algo humillado por la reacción violenta a su anuncio del domingo. Desde entonces, ha recurrido a Twitter para, con algo que casi parece sinceridad, pedir mejores opciones para “un inicio de sesión de autocustodia total que sea totalmente privado (sin PII), de baja fricción, compatible con dispositivos móviles y que no requiera Una extensión".

Personalmente, considero equivocada la insistencia en evitar una extensión u otra capa de seguridad claramente protegida por firewall. Al-Naji señala con razón que descargar e instalar una extensión es una barrera para algunos usuarios, pero también lo es descargar una aplicación de streaming en tu Roku, y Netflix parece estar funcionando bien. Es posible que sean necesarios algunos compromisos para agregar nuevos usuarios, pero la administración de claves es una característica inherente de Web 3, no un error molesto. En esta etapa del juego, es responsabilidad de las nuevas empresas capacitar a los futuros usuarios de la Web 3 para que hagan las cosas de la manera correcta.

En cambio, optar por brindar a los usuarios una forma de eludir perezosamente la arquitectura básica de la Web 3 podría beneficiar el crecimiento de operaciones individuales como DeSo en el corto plazo. Pero al enseñar lecciones equivocadas, estas prácticas aumentan el riesgo para los usuarios y, a su vez, debilitan las bases de todos los demás proyectos del ecosistema. Eso ayuda a explicar exactamente por qué tanta gente se enoja: el error de seguridad de DeSo, irónicamente, equivale a una especie de robo del esfuerzo más amplio de la Web 3.