作者 | MetaMask的创始人 Dan Finlay

编译 | PANews

“捕鲸缆绳散落在每个人的周围。所有人生来脖子上都缠绕着系带,但只有当死亡突然来临时,人们才会意识到生活中那些无声的、不易察觉的、却无处不在的危险。” ——《白鲸记》,赫尔曼·梅利维尔

实际上,如今的互联网环境与《白鲸记》中描绘的19世纪南塔基特岛附近海域并无两样。那些穷凶极恶的渔民为了获得巨额财富而残忍地屠杀了大量鲸鱼,在海上为非作歹,而当下的社交媒体就如同这片汪洋大海——举个例子,你只要发布一条带有“MetaMask”字眼的推文,就会立刻引来各路网络“钓鱼者”,而对方很可能只是一个机器人,但使用的用户名却看上去“非常”官方,比如@metamask095或@RealOfficialSupp0rt等。

不得不承认,现在的网络钓鱼事件日益增多。据悉,有80%的MetaMask用户报告过网络钓鱼行为,MetaMask也正在通过监控网络钓鱼者名单、警告用户危险域名等方式来预防此类事件的发生,然而直到现在,这一现象仍然无法彻底杜绝。

那么,假如能把每天都在举报网络钓鱼行为的社区力量全部动用起来,会有什么效果呢?毫无疑问,一旦这些虚假帐号被标记出来,其他人将不再会误以为他们是在与官方人员进行互动,从而遭受信息和资金的损失了。

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

代表MobyMask项目的白鲸Logo

在今年举办的ConsenSys Cypherpunk Hackathon大会上,MetaMask创始人带来了一个预防网络钓鱼行为的全新项目——“MobyMask”。与此前另一个版本“Moby-Dick”相比,“MobyMask”功能更加强大,它创建了一个名为“Delegatable”的信任网络,让更多人参与进来,而且允许用户通过签署链下消息将自己的信息授予他人,同时确保这些信息不可转让。此外,新用户还可以邀请其它用户一起参与举报钓鱼行为,所有举报都是透明的,用户不用担心会泄露自身信息。不仅如此,MobyMask 还建立了一个问责机制,如果发现被邀请的成员举报行迹可疑,则可以取消它的邀请链接。

尽管“MobyMask”项目现阶段看起来并不算非常完美,但不可否认的是,它已经做到了目前其它 Web 3去中心化防欺诈应用没有做到的事情。

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

上图:“MobyMask”社区成员登录页面

在使用 MobyMask时,用户可以执行以下操作:

1、输入有嫌疑的 Twitter 账号来举报网络钓鱼者(当然还可以输入其它类别来实现)

2、公布自己心目中的白名单;

3、邀请自己信任的人,生成邀请链接来扩大举报网络钓鱼者网络。

注意,所有举报者都可以邀请其他人一起举报,当然也可以撤销所有的邀请,这样被邀请成员就会失去举报资格,并且他们任何未完成的举报消息都会无效。

通过这种形式,MobyMask希望尽可能地扩大举报范围,继而保证系统透明可靠并将所有的网络钓鱼检测策略整合到一个共享数据库中,让其成为全球响应速度最快的网络钓鱼检测系统。在整合了大量策略、支持即时举报的情况下,MobyMask还能具备完美的可审核性和问责制,从这个角度来看,这个项目已经算是同类中的佼佼者了。

实际上,有关网络钓鱼的报告在链下很容易进行确认。尽管整个系统是由链上注册表来控制的,但在链下维护网络钓鱼报告列表时,无论多少都无需处理费用,同时还能将这些报告存储起来,在与链上报告进行交叉检查后定期撤销掉一些不正确的报告。

由于用户也可以存储这些网络钓鱼报告,因此就可以形成一个几乎没有交易费用的 p2p 反钓鱼网络。当用户想要撤销他们的某个邀请但又担心撤销行为被审查时,区块链的作用就显现出来了,这与“可验证声明”或“去中心化身份认证 (DID)”的模式非常相似,但区别在于该模式是与链上信任锚定的。

要知道,所有关于网络钓鱼的报告在链下都是有用的,而且这些报告可以进行批处理。用户可以在处理单个事务的界面中输入任意数量的网络钓鱼报告,由于使用的都是同一个签名,因此验证报告需要的费用成本变得更低。

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

上图:在单个事务处理中支持批量报告

对于所有这些报告的验证都可以在链下进行,由收到邀请链接的用户进行批量处理。但在这种情况下,钱包连接负担太大,无法将新邀请的报告者安排到队列前面。由于该项目的一大亮点就是打造快速分发响应式的钓鱼检测网络,因此项目组决定扫除所有障碍。

在真正需要使用钱包之前,为了准确引导钱包,MobyMask还创建了一个名为“ LazyConnect”的引导库, 将需要用到区块链技术的几个按钮进行了包装,使得用户能够在获得钱包、备份或是任何交易费用前执行尽可能多的操作。

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

尽管该功能做得还不是很完美,但用户可以通过 CSS 类选择器进行非常方便的定制,这样他们可能永远不再需要钱包,或者当他们需要的时候再去申请钱包。为了实现这一点,Delegatable信任网络是十分重要的,有了它,创建邀请链接和MetaTransaction都会变得非常简单,用户无需传统意义上的钱包即可完成更多的体验。

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

上图:LazyConnect 的一个实际应用

现在,撤销邀请和提交报告仍然需要通过钱包来进行,但当创建了“网络钓鱼客户端”之后,就无需在链上提交每个报告了,而钱包也只有在撤销邀请的时候才需要用到。不过即使那样,仍然可能会有人通过钱包来提交这些报告,因为 MobyMask 中的所有操作都是 MetaTransaction(可以由支付 gas 费用的人进行提交)。

目前,该项目还处于初级阶段,要想完全阻止网络钓鱼行为还有很长的路要走,底层技术还需要不断优化,比如还需:

• 建立一个从数据库中提取信息的系统,以便更快地向用户发出警告。

• 建立一个让用户在遇到网络钓鱼时方便报告的系统。

• 建立一个系统用于审核未完成的网络钓鱼报告、进一步解决冲突(在对用户邀请的举报人存在分歧的情况下,如果不撤销邀请那么用户自己的会员资格可能会被取消!)

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

上图:在理想情况下,整合网上所有的举报信息和新成员邀请信息。

一旦该系统中出现了关于网络钓鱼报告的分歧,那么MobyMask将会帮助用户查看他们邀请的举报人与其他举报人提交的报告是在什么时候发生分歧的,以及分歧的内容是什么,只要最后没有达成共识便可以撤销邀请。如果邀请你的人发现了分歧点并且证实你的受邀者提交的报告不正确,那么你发出的邀请将会被撤销。

以下是在当前的 MobyMask 概念验证中涉及到的库图表和技术图表:

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

接下来,MobyMask还将开发可自行托管的 MobyMask 客户端,将所有链下的网络钓鱼报告整合到一起进行分析,这样大多数的网络钓鱼报告就无需上链了。此时,区块链将成为一种反审查保险策略:如果系统中有分歧的邀请没有被撤销,那么区块链网络将会审查出来。除此之外,它与那些验证过的索赔系统(claims system)并无区别:

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

从长远来看,通过本地轻量级客户端Laconic Network的“反事实分叉”(counterfactual forks)存储来自区块链的相关数据,可以十分便捷地实现点对点的传输:

 MetaMask创始人推出MobyMask,如何铲除网络钓鱼行为

除此之外,MobyMask还将允许用户订阅任意数量的“可信根”(Root of Trust)来获取网络钓鱼报告以及其他类型的元数据。注意:网络钓鱼报告非常重要,这也是用来构建基础架构并启用Delegatable模型的第一个用例。