為什麼說鏈上KYC可能是Web3的一段歧途

近日,Galxe(原Project Galaxy)宣佈推出Galxe Passport。 Galxe稱該項目可作為用戶在Web3中的通用身份,且能够安全且匿名地存儲身份資訊。 這一活動也借用了時下流行的“靈魂綁定”,Galxe Passport將在錢包中以SBT的形式存在。

但在推出之後,這一項目卻引發了社區的廣泛討論,針對這一活動的討論不斷蔓延,並擴展至同類賽道。

在實際體驗之後,Odaily星球日報發現,鑄造Galxe Passport需用戶提供身份ID,如身份證、護照等檔案。 如果你不是前10萬名鑄造的用戶,這一SBT甚至還需用戶自費繳納5美元,以此作為認證費。

毫無疑問,Galxe Passport試圖收集用戶身份資訊,給錢包地址進行KYC認證。

無獨有偶,Galxe並不是第一這麼做的。 不久前,Binance宣佈推出基於BNB Chain上首個靈魂綁定通證(Soulbound Token):Binance帳戶綁定(BAB)通證,作為Binance用戶已完成KYC認證的身份證明,未認證KYC用戶不可鑄造。 該代幣不可轉讓,且具有唯一性。

SBT天然適合KYC?

前段時間,V神發佈了一篇關於“靈魂綁定”的文章,將NFT帶入到了一個無人涉足的新領域。 雖然提出了很多關於SBT的可行用例,例如可信的聲譽數據、技能證書、更優秀的POAP等等。 但這些更具實用價值的用例仍大多處於實驗之中,距離現實還太過遙遠。

而現時最為廣泛的SBT用例,恐怕就是幣安BAB和Galxe Passport了。 而這二者又高度相似:他們都是鏈上KYC。

SBT的特點决定了它可以用來存儲或證明某些資訊,從形式上來看,這一代幣作為KYC是實用且方便的。

現時,Web3缺乏原生的鏈上KYC解決方案。 在項目方進行“實人”認證時更多會採用基於Web2的驗證管道,間接實現實人認證。 例如驗證Twitter帳戶、Discord帳戶等等。 這在底層上是依賴於中心化的Web2基礎設施,並存在一定的局限性。

或許正是囙此,基於SBT去做鏈上KYC成為了一個受到多個項目方青睞的賽道。 加密世界的項目方們,似乎真的很需要一個加密原生的身份解決方案。 但現時市場上卻並無較好的選擇。

錢包地址需要KYC嗎?

當項目方紛紛試圖給我們的錢包地址發放KYC時,更為關鍵的一個問題或許值得引起我們的注意:錢包地址需要進行KYC嗎?

在整個加密世界中,KYC有著充分的必要性。 這對合規、監管、投資者保護等等多領域來說,

去中心化是加密世界的基石,以錢包地址作為身份ID構建的帳戶體系長期以來一直穩定的運轉著。 “無需信任”、“去中心化”這些詞語不只是說說而已,在建設者長期的努力下,加密高山族真的構建出了一個無需銀行卡和護照的鏈上的自由世界。 智慧合約、DeFi、NFT,科技的進步讓去中心化的世界得以流暢的運行。

自然,無KYC的秩序也有其糟糕的一面。 例如社區治理更為困難、假號盛行、可能蘊含女巫攻擊的風險。 但這些問題業界正致力於通過各種途徑來解决。 而對錢包地址進行KYC,或許是其中最差的一種選擇。

比資產被盜更可怕的,是身份被盜

將錢包地址進行KYC認證,並不是一勞永逸的辦法。 甚至可能還會產生完全相反的負面後果。

在中心化平臺KYC,似乎並沒有什麼太糟糕的事情發生。 但這恰恰是由於“中心化”所導致的,而非KYC固有的優勢。

在中心化平臺KYC之後,一旦發生密碼遺失等安全事故,用戶可以靠身份自行凍結、鎖定帳戶,也可確認帳戶的最終所屬權。 KYC之後,用戶被“驗明真實”。 雖然數據交由中心化平臺保管,但依託中心化的流程,用戶的所有權和身份不容置疑,一切中心化數據都是可凍結、找回、註銷的。

而對於平臺來說,平臺也可掌握用戶身份,滿足合規要求、確認用戶真實性、排除機器人干擾等等。 在中心化平臺進行KYC認證,並不是一項壞事。

但當這一套流程到了鏈上,又會怎麼樣呢? 錢包的所有權並非由中心化機构依據身份證件提供擔保,而是由私密金鑰完全控制。 這也意味著,KYC幾乎失去了它最大的意義:確認用戶真實性。

儘管SBT是不可轉讓、無法交易的,但錢包地址卻是可以共亯的。 若借助智慧合約錢包,錢包地址甚至還可實現所有權的交易。

如果用戶使用非本人KYC的鏈上地址,這一結果近乎是災難性的。 對於項目方來說,首先是協定獲取的關於用戶數據可能會失真。 因為地址的實控人是可以變更的,所以用戶實際鏈上行為與綁定地址行為差异可能會較大。

而對於用戶來說,因為SBT的特點,這一KYC是無法消除、甚至無法轉移的。 一旦發生私密金鑰洩露的事情,用戶失去的將不只是財產,甚至還遺失了自己的身份,這一後果尤為可怕。

還有哪些問題?

此外,數據安全問題也值得引起足够的重視。 當用戶在鏈上進行諸如KYC之類的操作之後,身份認真資訊儲存在哪裡?

在未來,隨著科技的演進(以及項目方KYC要求的提高),是否的我們的指紋、人臉、證件都需要向項目方提交? 毫無疑問,這些數據的傳輸和儲存仍然是Web2的,儘管我們獲得了SBT作為數據憑證,但資料安全的風險卻仍然是一個Web2的問題。 此外,項目方對於用戶數據仍然有巨大道德風險——無人知道這些數據會被項目方如何利用。

毫無疑問,鏈上KYC是一個用Web3封裝數據憑證的Web2式數據收集動作。 這已經距離與用戶具有數據主權的Web3理念相去甚遠。

而在加密世界,我們通常都擁有不止一個錢包。 單個地址不能代表用戶,且面臨更換地址、私密金鑰遺失等風險。 將用戶身份資訊封裝在特定的某一個鏈上地址中,這一結果是失真的。 單一鏈上地址的數據行為往往不能完全代表用戶本身。

儘管加密世界需要一個可信的身份系統、一個更可靠的DID。 但對錢包地址進行KYC,這真的是最好的選擇麼? 識別與偽造虛假身份的對抗一直在持續進行著,卻無一項目方敢冒天下之大不韙要求用戶“持身份證領取空投”。

Web3就是這樣承諾的——一個自由、開放、無需許可的去中心化互聯網。

來源:DeFi之道