9 月 20 日，慢霧 MistTrack 在社交媒體上發文表示，Coinbase Wallet 已於近期與 Web3 消息網絡協議 XMTP 集成，只要用戶的錢包地址打开消息網絡，就可能收到消息協議發送的任何信息。而慢霧發現許多攻擊者利用此功能向錢包用戶發送帶有釣魚鏈接的消息。

在與 Coinbase Wallet 集成僅 2 個多月後的現在，XMTP 便已受到用戶對於其安全性的質疑。我們距離真正放心使用 Web3 領域的社交軟件還有多遠？

攻擊者利用漏洞發送釣魚鏈接

本次事件中，部分用戶在社交媒體平台發文質問 XMTP 官方，表示自己每天都在收到垃圾郵件推送。

這種質疑聲在 2 個多月前就已出現，當時 Coinbase Wallet 官推發布視頻宣布與开源通訊網絡 XMTP 集成，合作开啓錢包地址之間的即時通訊。不少加密愛好者對此提出疑問：「聊天內容加密了嗎？」「Coinbase Wallet 的技術將如何脫穎而出，以及消息安全的保證是什么？」

盡管 Lens Profile 官方曾表示，所有消息都是端到端加密的，只能通過錢包地址解密，且消息是在鏈下發送的，不會產生任何 Gas 費用；但從本次事件中可以看出，加密行業的用戶對 XMTP 底層協議尚存不確定性。

本次事件中被用戶質疑的 XMTP，事實上是 Coinbase Wallet 的底層協議。目前，XMTP 當前已經滲透到更大範圍的行業生態中，因爲除了 Coinbase Wallet，Web3 社交圖譜協議 Lens Protocol 官方也於去年 11 月宣布與 XMTP 集成，爲其整個 Lens 生態提供安全且私密的 Profile 間私信服務。自 2022 年初推出以來，XMTP 網絡中已生成超 100 萬個 XMTP 收件箱，發送了超過 30 萬條 DM，Lens 與 Coinbase Wallet 的加入，更是爲其輸入大量早期種子用戶。

如果這個問題不能及時得到解決，那么這些充滿風險的釣魚鏈接與毫無意義的垃圾郵件，便有可能隨時隨地出現在數萬名用戶的生活中。

真正實現跨應用實時聊天還有多遠？

事實上，Web3 行業一直缺乏原生的、有潛力的、統一的社交工具。如果說微信、Telegram 等是 Web2 時代的核心社交軟件，那么 Web3 時代的社交战場則尚未敲定終局。而從 XMTP 底層協議的架構及展現出的功能來看，Web3 的社交軟件與 Web2 時代的核心區別，最直觀的體現便在於人與人之間可以「跨應用實時聊天」。這就好比在微信裏跟支付寶的商家聊天、與攜程的賣家詢價一樣。

當前來看，這種功能在 Web2 時代無法真正實現。用戶被分散在多個不同的以 App 爲載體的界面中，體驗非常碎片化。而 XMTP 正是因爲有着能解決這些痛點潛力，才能吸引到大量投資。2021 年 9 月 1 日，XMTP 宣布完成 2000 萬美元 A 輪融資，a16z 領投，Coinbase Ventures、Not Boring Capial 等基金與天使投資人參投。

那 XMTP 能成爲打开 Web3 社交領域基礎設施建設的第一人嗎？

具體而言，XMTP 是一個通用的 Web3 通信協議和網絡，支持鏈上地址之間端到端加密通信，开發者無需許可即可將 XMTP SDK 集成至 Dapp 中，實現應用內 DM 和通知功能。在 XMTP 協議中，消息收件箱（DM）是與用戶的以太坊地址綁定在一起的，這意味着用戶可以透過多個不同的前端應用收發自己的通知，隨身攜帶（所謂便攜式）並可將所有的交互數據（包括關注、發布內容和 DM）隨時遷移至其他應用中，前提是這些應用同樣集成了 XMTP 協議，比如前文提到的 Coinbase Wallet 和 Lens Protocol 用戶互通實時聊天的場景，就是由 XMTP 協議實現的。

當然，前端用戶無法直接感知到 XMTP 的存在，因爲 XMTP 面向的都是开發者用戶。但其开發者用戶，例如 Coinbase Wallet 和 Lens Protocol，都有着極爲龐大的用戶基礎，因此基本可以將這兩者的用戶等同於 XMTP 的用戶。目前來看，用戶使用體驗反響普遍不錯，「相對流暢」「跨應用的信息發送和接收的時效性比較好」。但在硬幣的另一面，有人曾做過實驗發現，「試驗的對象是隨機找的，並且不用經過對方同意就可以直接聊天，這對隱私性的考慮是否欠缺（和騷擾短信有何區別），但對實施者更加便利和精准」。

因此，當前 Web3 的 SocialFi 領域中，开發者們需要更多思考如何堵住缺陷與漏洞、保護用戶的账戶安全與隱私，同時盡最大可能擴展生態，避免去中心化的初心被不法分子利用，從而衍生出更大的麻煩。從這一點來看，XMTP 在 Web3 的社交敘事，雖然开了好頭，但離走到終點距離還很遙遠。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。