为什么说链上KYC可能是Web3的一段歧途

Defi之道 view 20403 2022-9-19 09:47
share to
Scan QR code with WeChat

近日,Galxe(原 Project Galaxy)宣布推出 Galxe Passport。Galxe 称该项目可作为用户在 Web3 中的通用身份,且能够安全且匿名地存储身份信息。这一活动也借用了时下流行的 “灵魂绑定”,Galxe Passport 将在钱包中以 SBT 的形式存在。

但在推出之后,这一项目却引发了社区的广泛讨论,针对这一活动的讨论不断蔓延,并扩展至同类赛道。

为什么说链上KYC可能是Web3的一段歧途

在实际体验之后,Odaily星球日报发现,铸造 Galxe Passport 需用户提供身份 ID,如身份证、护照等文件。如果你不是前 10 万名铸造的用户,这一 SBT 甚至还需用户自费缴纳 5 美元,以此作为认证费。

毫无疑问,Galxe Passport 试图收集用户身份信息,给钱包地址进行 KYC 认证。

无独有偶,Galxe 并不是第一这么做的。不久前,Binance 宣布推出基于 BNB Chain 上首个灵魂绑定通证(Soulbound Token):Binance 账户绑定(BAB)通证,作为 Binance 用户已完成 KYC 认证的身份证明,未认证 KYC 用户不可铸造。该代币不可转让,且具有唯一性。

SBT天然适合KYC?

前段时间,V 神发布了一篇关于 “灵魂绑定” 的文章,将 NFT 带入到了一个无人涉足的新领域。虽然提出了很多关于 SBT 的可行用例,例如可信的声誉数据、技能证书、更优秀的 POAP 等等。但这些更具实用价值的用例仍大多处于实验之中,距离现实还太过遥远。

而目前最为广泛的 SBT 用例,恐怕就是 币安 BAB 和 Galxe Passport 了。而这二者又高度相似:他们都是链上 KYC。

SBT 的特点决定了它可以用来存储或证明某些信息,从形式上来看,这一代币作为 KYC 是实用且方便的。

目前,Web3 缺乏原生的链上 KYC 解决方案。在项目方进行 “实人” 认证时更多会采用基于 Web2 的验证方式,间接实现实人认证。例如验证 Twitter 账户、Discord 账户等等。这在底层上是依赖于中心化的 Web2 基础设施,并存在一定的局限性。

或许正是因此,基于 SBT 去做链上 KYC 成为了一个受到多个项目方青睐的赛道。加密世界的项目方们,似乎真的很需要一个加密原生的身份解决方案。但目前市场上却并无较好的选择。

钱包地址需要KYC吗?

当项目方纷纷试图给我们的钱包地址发放 KYC 时,更为关键的一个问题或许值得引起我们的注意:钱包地址需要进行 KYC 吗?

在整个加密世界中,KYC 有着充分的必要性。这对合规、监管、投资者保护等等多领域来说,

去中心化是加密世界的基石,以钱包地址作为身份 ID 构建的账户体系长期以来一直稳定的运转着。“无需信任”、“去中心化” 这些词语不只是说说而已,在建设者长期的努力下,加密原住民真的构建出了一个无需银行卡和护照的链上的自由世界。智能合约、DeFi、NFT,技术的进步让去中心化的世界得以流畅的运行。

自然,无 KYC 的秩序也有其糟糕的一面。例如社区治理更为困难、假号盛行、可能蕴含女巫攻击的风险。但这些问题业界正致力于通过各种途径来解决。而对钱包地址进行 KYC,或许是其中最差的一种选择。

比资产被盗更可怕的,是身份被盗

将钱包地址进行 KYC 认证,并不是一劳永逸的办法。甚至可能还会产生完全相反的负面后果。

在中心化平台 KYC,似乎并没有什么太糟糕的事情发生。但这恰恰是由于 “中心化” 所导致的,而非 KYC 固有的优势。

在中心化平台 KYC 之后,一旦发生密码遗失等安全事故,用户可以靠身份自行冻结、锁定账户,也可确认账户的最终所属权。KYC 之后,用户被“验明真实”。虽然数据交由中心化平台保管,但依托中心化的流程,用户的所有权和身份不容置疑,一切中心化数据都是可冻结、找回、注销的。

而对于平台来说,平台也可掌握用户身份,满足合规要求、确认用户真实性、排除机器人干扰等等。在中心化平台进行 KYC 认证,并不是一项坏事。

但当这一套流程到了链上,又会怎么样呢?钱包的所有权并非由中心化机构依据身份证件提供担保,而是由私钥完全控制。这也意味着,KYC 几乎失去了它最大的意义:确认用户真实性。

尽管 SBT 是不可转让、无法交易的,但钱包地址却是可以共享的。若借助智能合约钱包,钱包地址甚至还可实现所有权的交易。

如果用户使用非本人 KYC 的链上地址,这一结果近乎是灾难性的。对于项目方来说,首先是协议获取的关于用户数据可能会失真。因为地址的实控人是可以变更的,所以用户实际链上行为与绑定地址行为差异可能会较大。

而对于用户来说,因为 SBT 的特点,这一 KYC 是无法消除、甚至无法转移的。一旦发生私钥泄露的事情,用户失去的将不只是财产,甚至还丢失了自己的身份,这一后果尤为可怕。

还有哪些问题?

此外,数据安全问题也值得引起足够的重视。当用户在链上进行诸如 KYC 之类的操作之后,身份认真信息储存在哪里?

在未来,随着技术的演进(以及项目方 KYC 要求的提高),是否的我们的指纹、人脸、证件都需要向项目方提交?毫无疑问,这些数据的传输和储存仍然是 Web2 的,尽管我们获得了 SBT 作为数据凭证,但数据安全的风险却仍然是一个 Web2 的问题。此外,项目方对于用户数据仍然有巨大道德风险——无人知道这些数据会被项目方如何利用。

毫无疑问,链上 KYC 是一个用 Web3 封装数据凭证的 Web2 式数据收集动作。这已经距离与用户具有数据主权的 Web3 理念相去甚远。

而在加密世界,我们通常都拥有不止一个钱包。单个地址不能代表用户,且面临更换地址、私钥丢失等风险。将用户身份信息封装在特定的某一个链上地址中,这一结果是失真的。单一链上地址的数据行为往往不能完全代表用户本身。

尽管加密世界需要一个可信的身份系统、一个更可靠的 DID 。但对钱包地址进行 KYC,这真的是最好的选择么?识别与伪造虚假身份的对抗一直在持续进行着,却无一项目方敢冒天下之大不韪要求用户 “持身份证领取空投”。

Web3 就是这样承诺的——一个自由、开放、无需许可的去中心化互联网。

btcfans公众号

Scan QR code with WeChat

Link
Disclaimer:

Tags: Web3 KYC
Previous: 拜登政府发布加密货币监管框架 Next: Vitalik:为什么选择 PoS

Related