作者:Loopy Lu

原文: 《為什麼我說“鏈上KYC”可能是Web3的一段歧途》

近日,Galxe(原Project Galaxy)宣布推出Galxe Passport。 Galxe 稱該項目可作為用戶在Web3 中的通用身份,且能夠安全且匿名地存儲身份信息。這一活動也藉用了時下流行的“靈魂綁定”,Galxe Passport 將在錢包中以SBT 的形式存在。

但在推出之後,這一項目卻引發了社區的廣泛討論,針對這一活動的討論不斷蔓延,並擴展至同類賽道。

開歷史倒車? “鏈上KYC”可能是Web3的一段歧途

在實際體驗之後,Odaily星球日報發現,鑄造Galxe Passport 需用戶提供身份ID,如身份證、護照等文件。如果你不是前10 萬名鑄造的用戶,這一SBT 甚至還需用戶自費繳納5 美元,以此作為認證費。

毫無疑問,Galxe Passport 試圖收集用戶身份信息,給錢包地址進行KYC 認證。

無獨有偶,Galxe 並不是第一這麼做的。不久前,Binance 宣布推出基於BNB Chain 上首個靈魂綁定通證(Soulbound Token):Binance 賬戶綁定(BAB)通證,作為Binance 用戶已完成KYC 認證的身份證明,未認證KYC 用戶不可鑄造。該代幣不可轉讓,且具有唯一性。

SBT天然適合KYC?

前段時間,V 神發布了一篇關於“靈魂綁定” 的文章,將NFT 帶入到了一個無人涉足的新領域。雖然提出了很多關於SBT 的可行用例,例如可信的聲譽數據、技能證書、更優秀的POAP 等等。但這些更具實用價值的用例仍大多處於實驗之中,距離現實還太過遙遠。

而目前最為廣泛的SBT 用例,恐怕就是幣安BAB 和Galxe Passport 了。而這二者又高度相似:他們都是鏈上KYC。

SBT 的特點決定了它可以用來存儲或證明某些信息,從形式上來看,這一代幣作為KYC 是實用且方便的。

目前,Web3 缺乏原生的鏈上KYC 解決方案。在項目方進行“實人” 認證時更多會採用基於Web2 的驗證方式,間接實現實人認證。例如驗證Twitter 賬戶、Discord 賬戶等等。這在底層上是依賴於中心化的Web2 基礎設施,並存在一定的局限性。

或許正是因此,基於SBT 去做鏈上KYC 成為了一個受到多個項目方青睞的賽道。加密世界的項目方們,似乎真的很需要一個加密原生的身份解決方案。但目前市場上卻並無較好的選擇。

錢包地址需要KYC嗎?

當項目方紛紛試圖給我們的錢包地址發放KYC 時,更為關鍵的一個問題或許值得引起我們的注意:錢包地址需要進行KYC 嗎?

在整個加密世界中,KYC 有著充分的必要性。這對合規、監管、投資者保護等等多領域來說,

去中心化是加密世界的基石,以錢包地址作為身份ID 構建的賬戶體係長期以來一直穩定的運轉著。 “無需信任”、“去中心化” 這些詞語不只是說說而已,在建設者長期的努力下,加密原住民真的構建出了一個無需銀行卡和護照的鏈上的自由世界。智能合約、DeFi、NFT,技術的進步讓去中心化的世界得以流暢的運行。

自然,無KYC 的秩序也有其糟糕的一面。例如社區治理更為困難、假號盛行、可能蘊含女巫攻擊的風險。但這些問題業界正致力於通過各種途徑來解決。而對錢包地址進行KYC,或許是其中最差的一種選擇。

比資產被盜更可怕的,是身份被盜

將錢包地址進行KYC 認證,並不是一勞永逸的辦法。甚至可能還會產生完全相反的負面後果。

在中心化平台KYC,似乎並沒有什麼太糟糕的事情發生。但這恰恰是由於“中心化” 所導致的,而非KYC 固有的優勢。

在中心化平台KYC 之後,一旦發生密碼遺失等安全事故,用戶可以靠身份自行凍結、鎖定賬戶,也可確認賬戶的最終所屬權。 KYC 之後,用戶被“驗明真實”。雖然數據交由中心化平台保管,但依託中心化的流程,用戶的所有權和身份不容置疑,一切中心化數據都是可凍結、找回、註銷的。

而對於平台來說,平台也可掌握用戶身份,滿足合規要求、確認用戶真實性、排除機器人干擾等等。在中心化平台進行KYC 認證,並不是一項壞事。

但當這一套流程到了鏈上,又會怎麼樣呢?錢包的所有權並非由中心化機構依據身份證件提供擔保,而是由私鑰完全控制。這也意味著,KYC 幾乎失去了它最大的意義:確認用戶真實性。

儘管SBT 是不可轉讓、無法交易的,但錢包地址卻是可以共享的。若借助智能合約錢包,錢包地址甚至還可實現所有權的交易。

如果用戶使用非本人KYC 的鏈上地址,這一結果近乎是災難性的。對於項目方來說,首先是協議獲取的關於用戶數據可能會失真。因為地址的實控人是可以變更的,所以用戶實際鏈上行為與綁定地址行為差異可能會較大。

而對於用戶來說,因為SBT 的特點,這一KYC 是無法消除、甚至無法轉移的。一旦發生私鑰洩露的事情,用戶失去的將不只是財產,甚至還丟失了自己的身份,這一後果尤為可怕。

還有哪些問題?

此外,數據安全問題也值得引起足夠的重視。當用戶在鏈上進行諸如KYC 之類的操作之後,身份認真信息儲存在哪裡?

在未來,隨著技術的演進(以及項目方KYC 要求的提高),是否的我們的指紋、人臉、證件都需要向項目方提交?毫無疑問,這些數據的傳輸和儲存仍然是Web2 的,儘管我們獲得了SBT 作為數據憑證,但數據安全的風險卻仍然是一個Web2 的問題。此外,項目方對於用戶數據仍然有巨大道德風險——無人知道這些數據會被項目方如何利用。

毫無疑問,鏈上KYC 是一個用Web3 封裝數據憑證的Web2 式數據收集動作。這已經距離與用戶具有數據主權的Web3 理念相去甚遠。

而在加密世界,我們通常都擁有不止一個錢包。單個地址不能代表用戶,且面臨更換地址、私鑰丟失等風險。將用戶身份信息封裝在特定的某一個鏈上地址中,這一結果是失真的。單一鏈上地址的數據行為往往不能完全代表用戶本身。

儘管加密世界需要一個可信的身份系統、一個更可靠的DID 。但對錢包地址進行KYC,這真的是最好的選擇麼?識別與偽造虛假身份的對抗一直在持續進行著,卻無一項目方敢冒天下之大不韙要求用戶“持身份證領取空投”。

Web3 就是這樣承諾的——一個自由、開放、無需許可的去中心化互聯網。