此文由 zCloak 社区成员匿名供稿,感谢。
欢迎更多 Web3 朋友共同发掘 zCloak 的潜力
▍zCloak 是什么
数据隐私和确权一直是基于区块链的数字身份系统的两大主要问题,这正是 zCloak Network 致力解决的。
zCloak 以去中心化数字身份和可验证计算平台的形式,通过将用户隐私数据的存储与计算从中心化服务器迁移至用户本地设备,来实现 Web3 力求的用户数据自主权;帮助用户在浏览器插件中使用以 STARK 为基础的 zk-VM(确保本地 ZKP 计算的数据真实可信性和计算过程诚实性)和具有多种出示功能的可验证数字凭证,来解决数据隐私安全问题;并通过密码学公私钥技术完成数据确权问题。
zCloak 开发的符合 W3C 标准的 DID 身份系统(did:zk:***)与链无关,不仅可以应用于多个公链生态,还可以将真实世界里的信用体系以及用户合法状态映射到 Web3。用户能够以不泄露任何隐私的方式将他们真实世界中的数据应用在 DeFi、链上 KYC、以及链上生物识别等许多场景中。
▍zCloak 的产品有什么
zCloak 目前的产品包含 to B 的 Valid ID,to C 的端到端加密平台 Credential Platform、以浏览器插件形式存在的 zkID Wallet、和 SDK 系统 zk Login。
▍zCloak 产品的用途
zCloak
1. Web3 钓鱼攻击现状
NFT 和 DeFi 市场的网络钓鱼攻击事件层出不穷,在 Web3 中造成严重破坏。据相关数据统计,2021 年区块链网络中因网络钓鱼攻击而导致的资产损失超过 64 亿美元,2022 年网络钓鱼攻击增加了 170%,社交媒体平台成为这些项目的主要痛点。
2. Web3 钓鱼攻击路径
通常,在助记词、私钥处于保密状态时,用户的数字资产是安全的,但黑客另辟蹊径利用人为错误或中心化平台发起攻击,如利用 Discord、邮箱、Twitter、交易平台发布虚假信息,或通过伪造网站引导用户错误操作来实现,包括但不限于:
• 利用不安全的、虚假的 Discord 机器人在官方 Discord 服务器上发布钓鱼链接;
• 使用虚假合约地址;
• 利用各类 NFT 交易平台推广虚假项目链接;
• 制造高度相似于官方的域名和社交账号发送虚假内容;
• 通过邮件发送钓鱼链接;
• 利用搜索引擎上的广告宣传虚假内容发布钓鱼网站.
3. 现有的反钓鱼攻击方式
应对以上情况,除了用户需要对未知、恶意链接提高警惕,细心核对交易信息,保护好账户密码、助记词、私钥等敏感信息以外,更重要、最根本且最行之有效的是能够及时验证未知信息是否源自于某真实组织本身,这个验证过程涉及到:
1. 确定发布信息的组织的身份真实有效性,是非假冒的、非已注销的;(即“谁是谁”的问题)
2. 确认信息里的所有内容均出自该真实有效的组织;(即“谁说了什么话,发布了什么信息”的问题)
就第一点而言:
▲ 从用例层面,用户可通过
(1)类似“天眼查”的可信黄页来知悉组织存在的合法依据和官方身份信息,或
(2)各大社交平台的“蓝 V”标识来相信组织公共账号及其公布的内容的真实性。
但无论是入驻“天眼查”抑或获得“蓝 V”标识,均是一个人工的、中心化的、低效的认证过程,平台亦无法及时更新项目的发展、注销、所有权更改状态,无法验证即将或已离职高层的发言是否能代表组织的意图。
▲ 自技术层面,可通过
(1)证书签发机构(CA)的公钥基础设施(PKI)体系,或
(2)菲尔·齐默尔曼开发的 PGP 与 Web of Trust 个人密钥系统,
来完成身份真实有效性的认证。
前者是完全中心化的,组织的数字身份及相应数字证书经由中心化机构认证、签发,且通常认证机制不完善甚至缺失,应用范围也局限于网站的 SSL/TLS 加密通信之中。各类 HTTPS 网站就是用了这种证书进行网站身份验证。
后者则要求事先明确知晓交互对象的 PGP 公钥,会存在一定的安全性和可扩展性顾虑。而 PGP 2.0 使用手册里提出的 Web of Trust(信任网络)概念旨在通过熟人网络互相认证彼此的 PGP 公钥来表达对彼此身份的信任,非常相似于去中心化社交认证。但在该方案中,信任仍依赖于线下实际交互、没有明确的方法来检查身份的真实性和有效性、也没有处理错误认证的惩罚机制,且由于涉及密码学基本原理及命令行操作使得普通用户的使用友好性极差,难以为一般组织或个人信誉赋能而形成网络效应。
就第二点,确认“谁说了什么话,发布了什么信息” —— “确定信息里的所有内容均出自某真实有效的组织” —— 而言,面对海量信息,尤其是涉及将发生钱包和资产交互的信息,用户需要能够第一时间验证其是否经官方授意公布,而非是因账户盗取或内部人员出于恶意而发布的虚假信息,以帮助用户避免因误信而不当操作造成隐私信息泄露和资产损失。对此,无论在 Web2 或 Web3,组织、名人都需要一个官方能够及时辟谣的、用户能够及时验证的成熟路径,以维护声誉、保护信息和资产安全。
针对以上两点,Web3 尚缺乏相应的反欺诈身份验证方式,和,反欺诈的可验证信息表达路径。
而这恰是 zCloak 发挥才能之处,Valid ID —— 一个用于机构身份证明,提供可验证信息发布服务的平台,为以上两点提供了更完善、友好、行之有效的解决方案。
4.1 三要素关联 zkID —— 认证官方身份,解决"谁是谁"问题
组织通过认证官方邮箱、Discord 账户、网址来确认身份。如 zCloak 登陆 Valid ID 时有以下操作步骤:
①→ 安装 zkID Wallet
②→ 输入组织基础信息
③→ 认证官方 Twitter
④→ 认证官方邮箱
⑤→ 认证官方 Domain
⑥→ 完成三要素认证
完成认证后,一个组织的 zkID 不仅是全局唯一、不可更改的、且是和官方三要素紧密相关的,能够代表该组织露出。未来还会加入如工商注册信息、公司注册地址、法人信息等更多机构身份信息的验证方法,进一步加强机构身份认证的可信度。自此,组织便可通过私钥授权和签署不同重要级别的权限和事务,在各大媒体平台发布可验证信息,加权官方公告的真实可信性或辟谣虚假宣传。
4.2 社交认证和互动 —— 构建 Web3 受信度,促进组织业务扩张
一旦组织成功完成三要素认证,即可获得多种多样的好处,如:
1. 成为 Web3 信任网络中的可信节点,认证 Valid ID 平台上的其它方,为其签发可验证数字凭证,助力对方积累、建立、加强在 Web3 的受信度 —— 以平台上的 Valid Score 表示,组织的受信度与其在平台的入驻时间、被认证的次数、认证人(Attester)自身的声誉等密切相关。另也可通过 Credential Platform 为其生态用户、合作方等签发自定义的可验证数字凭证。
2. 组织可用“喜欢”、“同意”或“合作”等形式来表达与其他方的社交互动,互相助力名誉构建。
3. 组织链上活动可被写入可验证数字凭证,并跟随凭证在 Web3 跨生态使用。
这种社交认证和互动的所有操作都需要根密钥进行加密签名才能得以实现,且认证和交互结果以及链上活动行为都被记录在存储于各大公链之上的可验证数字凭证之中,其有效性可被用户独立验证。当入驻的组织足够多时, Valid ID 即成为了一个 Web3 机构的身份认证中心,既可作为用户核实组织真实存在和官方身份的平台,也可作为组织累计 Web3 信誉、资历之所。
由此可见,Valid ID 不仅
①. 能够帮助组织获得了在 Web3 甚至 Web2 世界里开展经济活动的信任入场券,帮助拥有高受信度的组织转化流量;
②. 也避免了中心化中因贿赂或信息不完整产生不准确信息的认证、修改,从而避免如 Twitter 上涌现的大量冒充公司和名人的虚假账号,使组织、个人蒙受巨大的经济、声誉损失;同时,
③. Valid ID 还可帮助没有家喻户晓名声的、不具规模和使命的小组织构建信任,这是低效的中心化“蓝 V”认证难以实现的,(因为小组织的信息的收集和确认过程更加困难且繁琐)。
● 另外,这种去中心化的信任认证也是促进 DeFi 扩张的重要要素之一。
信用作为身份的一种重要属性,可为用户获取第三方服务提供便利性,如美国信用机构 Experian 帮助个体用户申请信用卡和贷款,如支付宝芝麻信用可免除用户支付租用单车和充电宝的押金、或帮助用户快速获取贷款。在 zCloak Network 中,虽然目前 Valid Score 主要应用于组织链上身份的受信度识别,但随着应用场景的逐渐建立,Valid Score 的评分计算选项及权重可根据不同场景进行定制化设计,可反应用户的链上经济行为,并以可验证数字凭证的方式被记录、验证、出示,既能帮助 DeFi 判断组织或个体用户的链上金融信用,也能帮助用户获得类似传统金融那样的信用贷款服务,代币质押模式或将被削弱或替代,为当前 DeFi 生态带来更好的流动性和资本效率。
同样需要强调的是,现阶段,DeFi 信贷业务的扩张主要受限于链上身份对应真实身份的识别。如若 DeFi 要准确有效地与用户链下金融数据交互,以帮助评定用户链上信用,甚至追偿链上失信行为,KYC 认证则是不可避免的,但这可能使 Web 3 的原住民们感到不适,因为涉及隐私信息暴露隐患以及认证机构的道德隐患。另一方面,这同时也成为了阻碍 DeFi 实现低抵押率信贷业务的主要原因之一 —— Web 3 用户的信用水平难以判断和衡量 —— 所以只能通过提高用户抵押率或超额抵押来保障项目自身资金安全,却又与此同时降低了 DeFi 生态的资金利用效率,限制 DeFi 发展。
例如,MakerDAO 上的 ETH 贷款要求抵押率在 130-170% 之间,这在削弱了加密生态的整体流动性的同时,也将大多数希望利用信用杠杆的加密用户者拒之门外,因为对于部分人群来讲,他们贷款是因为是缺少这部分资金,且由于链下信用系统的成熟,他们可能因现实世界的信用记录不够丰富而难以获得理想的额度。
zCloak 的 DID + VC 身份系统是构建在隐私数据用户本地存储、零知识证明计算在用户本地完成的基础之上,它的普及为以上 DeFi 信贷业务问题提供了一种潜在解决方案 —— 通过具有多种出示功能的可验证数字凭证, 既可
①. 降低信贷机构完成过往信用数据收集并验证的成本;同时,即使未来 DeFi 与链下数据交互被强制实施 KYC 认证;也能
②. 保证用户数据验证和出示过程中的隐私诉求,除认证 KYC 的公信机构、认证相应金融数据的机构和用户自身,无人之知晓用户的任何相关隐私数据,如若出现泄露也有明确的对应信息追责路径。如此 DeFi 应用程序便可以轻松地为不同的用户提供针对性的服务,如,通过用户的 DID 和可验证数字凭证验证用户过往链上链下信用情况,若还款记录良好则可获得低利息的信用贷款或低质押率贷款。
除此以外,对于组织而言,由于其 Valid Score 是建立在多维度的验证之上,且是通过社交认证积累而来,所以在一定程度上
③. 可助推 DeFi 为具有良好信誉(Valid Score)的组织降信用贷款申请门槛,亦可降低组织的违约动机。至于追偿问责以及如何完成 KYC 认 证问题则不在 DID 的讨论范围之内。
综上可见,基于 Valid ID 的社交认证和互动而构建的 Web3 受信度—— Valid Score,可用于帮助项目累计信誉,最终助推业务扩张,甚至带来经济效益,尤其是对于 DeFi 项目。
Valid Sign
4.3 发布可验证信息 —— 维护组织声誉、保护用户资产
用户也可在 Discord、Telegram、Wechat 上一键验证信息真伪。
即使信息是被高度仿制的,仅有极少的字符,如链接里一个字符,与官方发布的不一致,此验证也会失败。
所以,当用户无法分辨信息是否包含虚假内容时,无法判断项目网址的主域名或顶级域名是否被更改时,无法耐心完整地确认繁琐智能合约地址的每一个字符是否都正确时,以及难以进行多渠道交叉核对以确认官方是否公布此信息或查阅到的信息是否与官方公布的完全相符时,等等情况之下,用户仅通过 Valid Sign 便可一键立即验证信息是否由官方签名授权发布、是否完全相符于官方发布的内容。这不仅
• 简化了用户的操作成本。不再需要多渠道交叉、完整确认每一个字符,也可从源头直接有效地验证信息的准确性和真实性,以避免钓鱼攻击造成的隐私信息泄露、资产损失;并且也
• 维护了组织在 Web2 以及 Web3 的声誉。即使黑客窃取了组织的社交媒体账户,只要未能控制其私钥,便无法实施任何需要签名授权的行为,包括伪造加密签名发布可验证的信息文本。
即使发生钓鱼事件,组织仍可凭借以下三种方式维护声誉、帮助户及时止损:
(1)通过 zkID Wallet 向网络出示可验证数字凭证以证明自己的官方身份和地址;
(2)签名反欺诈公告并发布于各平台;
(3)平台上所有其它方在自己的媒体账户全网广播某项目方遭受攻击的消息,以去中心化广播的方式实现最终安全声明。广播的消息同样需经 Valid Sign 签名。
如此这般,zCloak 便为组织提供了一个可信可验的辟谣渠道,足以削弱或消除 Web3 中因身份盗窃而导致的大多数欺诈和骗局。
4.4 丰富授权配置,构建信任树,使信任迁移变得高效
5. 小结
总体而言,zCloak 基于 ZKP 的 DID +VC 身份系统为削弱 Web3 中大部分的钓鱼事件,提供了行之有效的解决方案。
个体和组织不仅可凭借 zkID 为自己代言,发布反欺诈的可验证信息,且通过四种凭证披露方式 —— 明文披露、选择性披露、摘要披露、零知识证明披露,减少隐私数据泄露的频率和场景,削弱在互联网世界被追踪、画像的可能。
上一篇:zCloak 参展 “2023 香港 Web3 嘉年华”
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
