第 5 天:评估 Web3 项目中的隐私
隐私服务非技术人员评分模型(手册)
Modelo de Calificación de los Servicios de Protección de la Privacidad para No Técnicos (Playbook)
Por Web3PrivacyNow | Noviembre 07, 2023
想象一下,你想检查一个 web3 服务是否隐私,但你无法“追踪交易”或“理解技术文档”。你会从哪里开始?
Web3privacy Now 社区建议非技术人员使用这个简单且可操作的手册。它有助于:
- 检查声称具有隐私功能的项目是否合法
- 过滤掉高风险服务
- 提升 web3、隐私和安全知识库
请查看我们下面的评分方法。我们力求使其尽可能简单,以便非技术人员能够轻松理解。
第一部分:隐私还是不隐私:这是一个问题
这些简单的操作可以帮助非技术人员快速测试项目是否活跃、开源且对第三方审计开放。
Github
GitHub 是一个网站和基于云的服务,帮助开发者存储和管理他们的代码,以及跟踪和控制代码的更改。
行动计划
- 访问官方网站。
- 找到 GitHub 页面的链接。
- 点击链接。
- 检查它是否“活跃”:最后更新是什么时候?
如何评分
可用性
- 可用 (+)
- 缺失 (-)
活跃度:
- 活跃 (+):最近 6 个月内有活动。
- 不活跃 (-):GitHub 账户沉寂。
不计入分数,但值得检查: 每月活动次数(总体一致性):项目是每两个月、每两周还是一段时间更新一次(例如,每 3 个月一次)。
示例
Here 协议有一个 GitHub 账户,但只部署了一个登陆页面。解决方案架构、智能合约和代码库都缺失。另请注意最后更新日期。
文档 (Docs)
全面的文档确保人们能够有效地利用项目的功能、排除故障并找到问题的答案。 文档是开源社区内协作的基础。
行动计划
- 访问官方网站。
- 找到文档页面的链接。
- 点击链接。
- 分析可用信息。
如何评分
可用性:
- 可用 (+)
- 缺失 (-)
开源性
- 技术性 (+):为技术专家编写
- 营销性 (-):使用营销语言,缺乏技术规范,大量代币叙事
完整性(页数)
- 超过 5 页 (+)
- 2-3 页 (-)
非技术人员很难理解文档。但如果它严重以代币为中心(代币没有适当的效用)——这是一个“危险信号”。
https://shadecash.gitbook.io/shadecash/token/token-and-distribution
对于没有技术图解、信息图和代码库审查的视觉解释器也是如此。
✅ 以开发为中心的文档:Webb
第三方审计 (Third-party audit)
由有能力的机构或个人进行的安全审计确保了项目安全功能的水平。通常,它代表了关键错误、中心化功能或只是编写糟糕的代码发现。
第三方安全评估通常会降低与项目使用相关的风险。公司通过声称项目:a) 存在漏洞;b) 是安全的,来赌上自己的声誉。
注意: 这不是灵丹妙药,因为错误会发生,或者项目可能只审计了一个小功能,但对于隐私服务来说,这是一个完美的卫生方法。
行动计划
- 访问官方网站。
- 找到第三方审计的链接(如果网站上没有,请查看官方博客)。
- 点击链接。
- 检查其实际日期。
如何评分
可用性
- 可用 (+):独立的 PDF 文件或页面;可阅读/下载。
- 缺失 (-):无可用审计。
相关性
- 最新 (+):在过去 1 年内审计过。
- 过时 (-):上次审计在 1 年前。
有多次审计——检查,过时的审计——检查。DeFiner Protocol 的日期(下图)表明了项目的安全功能。字面意思是:在 2020 年它可能是安全的(取决于审计发现和问题是否已修复),而在 2023 年——没有数据。
https://docs.definer.org/v/copy-of-definer.org/security/audits
✅ 最新审计: Railgun_
团队 (Team)
声誉是信任的标志。公开团队在任何可能的隐私挑战面前明确地“赌上”他们的声誉。而匿名团队可能被用作一种技巧,以逃避对糟糕隐私功能执行的责任。
匿名工程在未来可能成为一种普遍现象。但现在,应该清楚地阐明关于网页上故意缺席的团队和隐藏的 GitHub 贡献者与“拥有大量公开提交的猫头像硬核开发者”之间的区别。
特别是当存在匿名或半匿名声誉的空间时:公开研究、论文、精心编写的文档等等。
行动计划
- 访问官方网站。
- 找到团队页面的链接。
- 在 Twitter、官方 Telegram 或 Discord 上探索团队资料。
- 检查他们是否公开且活跃。
如何评分
- 公开 (+):团队是公开的,拥有活跃的社交媒体和/或 GitHub 账户(注意:如果人们积极为项目做贡献并在社交媒体上积极沟通,数字头像也可以:dcbuilder 示例)。
- 匿名 (-):奇怪的名字,无/或模糊的头像,无社交媒体或 GitHub 链接。
有时团队使用“盖伊·福克斯”或其他流行匿名文化头像——很难说项目背后是谁,以及你为什么应该信任它。
产品就绪度 (Product-readiness)
指产品开发阶段,从原型(早期阶段)到主网(上线)。与核心团队的隐私成熟度和责任直接相关。
上线的产品应该非常稳定,相对没有错误,并可供使用。
dApps 和协议有不同的产品版本:
- dApps:不成熟:MVP 和 beta;成熟:alpha
- 协议:不成熟:测试网,成熟:主网
行动计划
- 启动项目网站——尝试找到产品的状态:明确的描述。
- 如果网站无法提供信息——使用 Duduckgo 或 Brave 搜索:“项目名称 + mainnet”。分析搜索结果及其证据。
- 额外的真实来源:官方 Twitter 或博客。
如何评分
- 上线 (+):协议有明确的主网,或 dApps 有 beta/alpha 版本,并有额外的隐私功能成熟度水平(基于之前的测试周期)。
- 测试网或原型 (-):协议没有明确的“主网”描述,或 dApps 没有最新的产品版本;明确的“测试网”或 MVP/原型产品就绪度沟通。
✅ Shade 透明地描述了主网部署(注意:是特定产品功能的)
“建设中”(项目未上线)是表明非隐私服务的最大排除因素。
良好的隐私道德:项目强调早期版本并通知使用此项目可能存在风险。
总结 (Summary)
这个评分模型是同类中的第一个版本。如果你使用这些简单的检查——你将增强你的隐私体验。但请记住,复杂的评估和对细节的关注确保你不会被虚假的隐私承诺所欺骗。
第二部分:日落 (Sunset)
“日落”意味着项目因各种原因被关闭:财务挑战、监管环境或薄弱的商业模式。在这里,它意味着项目团队无法支持隐私功能,因此使用它风险很高。
日落可能是:
- 有意识的: 项目提前告知终止运营:Aztec Connect 示例。
- 隐藏的: 网站突然无法访问,支持沉默,社交媒体死亡。
✅ XATA 通知人们他们将停止支持“swap”产品,并提供了支持热线来回答所有额外问题。
你如何发现“隐藏的”日落?
- 检查社交媒体:最后更新是什么时候?
- 检查支持(Discord、TG):核心团队是否活跃?
缺乏更新、新闻和团队支持通常表明项目“暂停”——趋向于日落。通常,公开中断 3-6 个月应该成为计划使用此类以隐私为中心的项目的人的“危险信号”。
附录 (Appendix)
- 本手册基于 Web3Privacy Now 团队进行的 DeFi 类别测试。
- 本项目是“隐私领域的 l2beat”平台的一部分:描述可在此处查看。
你还有其他问题吗?请在 Twitter 上联系我们:此处。