作者：Sharon，Luccy，BlockBeats

9 月20 日，慢霧MistTrack 在社群媒體上發文表示，Coinbase Wallet 已於近期與Web3 訊息網絡協定XMTP 集成，只要用戶的錢包位址開啟訊息網絡，就可能收到訊息協定發送的任何訊息。而慢霧發現許多攻擊者利用此功能向錢包用戶發送帶有釣魚連結的訊息。

在與Coinbase Wallet 整合僅2 個多月後的現在，XMTP 也受到用戶對其安全性的質疑。我們距離真正放心使用Web3 領域的社群軟體還有多遠？

攻擊者利用漏洞發送釣魚鏈接

在這次事件中，部分用戶在社群媒體平台發文質問XMTP 官方，表示自己每天都在收到垃圾郵件推播。

這種質疑聲在2 個多月前就已出現，當時Coinbase Wallet 官推發布影片宣布與開源通訊網路XMTP 集成，合作開啟錢包位址之間的即時通訊。不少加密愛好者對此提出疑問：「聊天內容加密了嗎？」「Coinbase Wallet 的技術將如何脫穎而出，以及訊息安全的保證是什麼？」

儘管Lens Profile 官方曾表示，所有訊息都是端對端加密的，只能透過錢包位址解密，且訊息是在鏈下發送的，不會產生任何Gas 費用；但從本次事件中可以看出，加密產業的用戶對XMTP 底層協定尚存不確定性。

這次事件中被用戶質疑的XMTP，事實上是Coinbase Wallet 的底層協定。目前，XMTP 目前已經滲透到更大範圍的行業生態中，因為除了Coinbase Wallet，Web3 社交圖譜協議Lens Protocol 官方也於去年11 月宣布與XMTP 集成，為其整個Lens 生態提供安全且私密的Profile 間私信服務。自2022 年初推出以來，XMTP 網路中已產生超100 萬個XMTP 收件匣，發送了超過30 萬個DM，Lens 與Coinbase Wallet 的加入，更是為其輸入大量早期種子用戶。

如果這個問題無法及時解決，那麼這些充滿風險的釣魚連結與毫無意義的垃圾郵件，便有可能隨時隨地出現在數萬名用戶的生活中。

真正實現跨應用程式即時聊天還有多遠？

事實上，Web3 產業一直缺乏原生的、有潛力的、統一的社交工具。如果說微信、Telegram 等是Web2 時代的核心社群軟體，那麼Web3 時代的社群戰場就尚未敲定終局。而從XMTP 底層協定的架構及展現出的功能來看，Web3 的社群軟體與Web2 時代的核心差異，最直覺的體現便在於人與人之間可以「跨應用程式即時聊天」。這就好比在微信裡跟支付寶的商家聊天、與攜程的賣家詢價一樣。

目前來看，這種功能在Web2 時代無法真正實現。使用者被分散在多個不同的以App 為載體的介面中，體驗非常碎片化。而XMTP 正是因為有著能解決這些痛點潛力，才能吸引到大量投資。 2021 年9 月1 日，XMTP 宣布完成2,000 萬美元A 輪融資，a16z 領投，Coinbase Ventures、Not Boring Capial 等基金與天使投資人參投。

那XMTP 能成為開啟Web3 社群領域基礎建設的第一人嗎？

具體而言，XMTP 是一個通用的Web3 通訊協定和網絡，支援鏈上位址之間端對端加密通信，開發者無需許可即可將XMTP SDK 整合至Dapp 中，實現應用程式內DM 和通知功能。在XMTP 協定中，訊息收件匣（DM）是與使用者的以太坊位址綁定在一起的，這意味著使用者可以透過多個不同的前端應用程式收發自己的通知，隨身攜帶（所謂便攜式）並可將所有的互動資料（包括追蹤、發佈內容和DM）隨時遷移至其他應用程式中，前提是這些應用程式同樣整合了XMTP 協議，例如前文提到的Coinbase Wallet 和Lens Protocol 用戶互通即時聊天的場景，就是由XMTP 協定實現的。

當然，前端使用者無法直接感知XMTP 的存在，因為XMTP 面向的都是開發者使用者。但其開發者用戶，例如Coinbase Wallet 和Lens Protocol，都有著極為龐大的用戶基礎，因此基本上可以將這兩者的用戶等同於XMTP 的用戶。目前來看，用戶使用體驗反應普遍不錯，「相對流暢」「跨應用程式的訊息發送和接收的時效性比較好」。但在硬幣的另一面，有人曾做過實驗發現，「試驗的對像是隨機找的，並且不用經過對方同意就可以直接聊天，這對隱私性的考慮是否欠缺（和騷擾短信有何區別），但對實施者更加便利精準」。

因此，在目前Web3 的SocialFi 領域中，開發者需要更多思考如何堵住缺陷與漏洞、保護用戶的帳戶安全與隱私，同時盡最大可能擴展生態，避免去中心化的初心被不法分子利用，從而衍生出更大的麻煩。從這一點來看，XMTP 在Web3 的社交敘事，雖然開了好頭，但離走到終點距離還很遙遠。