加密游戏账号系统的进化和挑战

01

前言

传统互联网的账号系统经过多年的演化,手机、邮箱和社交应用等账户登录管理方式被广泛使用,其安全性和易用性已日趋完善,并往指纹、刷脸等无密码认证方式的方向发展。

但传统账号系统有个无法摆脱的问题:用户对自己的账号相关数据并没有所有权,它被商业公司所占有,并被大肆贩卖牟利,最终导致用户隐私泄露,出现游戏资产被随意修改/删除等问题。

反观加密领域的账号系统,用户的数据和资产通过密码学共识机制储存在去中心化网络中,用算法和协议取代了中心化的企业和中介,使得用户拥有了自主权,your keys,your coins。

只是当下围绕加密钱包构建的账号系统晦涩难懂且难用,需要人们学习很多新的概念才能掌握。

链游作为加密领域的排头兵,被认为可以带领加密领域走向大规模普及,因此本文将通过梳理链游账号当下现状和实际效果,以及相关技术发展情况,从而了解其演进方向和存在的挑战。

02

钱包是加密领域的账号核心

创建和使用钱包是目前人们进入加密领域的必经之路

笔者统计整理了当下三十多款链游,根据体验可以分为下图四种类型。

链游账号系统现状

点击大图查看详细数据

阅读原文档(复制链接到浏览器打开):

https://docs.qq.com/sheet/DSXN1TGdUREpZaEdG?tab=hi3m4n&viewId=vbCfQP

总的来说,链游账号系统目前分为两种,一种是只支持加密钱包的账号系统,另一种是采用中心化账号+钱包账号的账户管理体系

其中中心化+加密钱包的账户体系中,一部分项目在注册过程中必须使用到加密钱包,另一部分则可以使用邮箱和社交应用注册登录,它允许用户先尝试部分游戏体验,后续再将加密钱包与中心化账号进行绑定,从而管理链上资产。

以Stepn为例,新用户需通过邮箱注册一个游戏账号,再导入/注册一个加密钱包来管理链上资产。

在创建和使用钱包的过程中,助记词密钥管理保存都是新的概念,新用户都会摸不着头脑还得研究,这意味着相关环节用户流失几率增大。

此外,如需购买NFT还要理解并学会入金(法币兑换加密货币)、签名、链上转账和添加切换对应公链网络等更加复杂的操作,这必然让小白望而却步。

而最近火热的The Beacon,则必须使用加密钱包登录。它运行在以太坊Layer2网络Arbitrum上,若用户需要购买NFT,还必须学会使用跨链桥等操作。

对于游戏开发商,总是无法接受用户高流失率,但只要有NFT/FT的链上资产,用户就必然需要一个钱包地址去承载。

目前,游戏开发商无法逃避教育用户使用钱包这个现状,能做的可能只有在创建钱包前,就允许用户体验游戏,再引导用户创建钱包,从而提高转化率。

03

当下的加密钱包体验差

Metamask是目前加密领域采用率最高的加密钱包,他们在本届以太坊开发者大会提出,现有的钱包产品体验阻碍了大多数用户进入Web3,当前的钱包赛道仍有较大的提升空间,他们认为Web3钱包需要解决以下问题,来提高安全性和产品体验,从而为未来Web3的大规模用户增长做好铺垫。

/ 私钥,助记词的用户体验差,需有更好的方案来验证所有权

/ 安全性差,它不能有效防止黑客入侵或盗窃行为

/ 钱包功能性弱

--我可以完全控制、撤销和恢复账号,大量用户因为遗失密钥而丢失资产

--产品在我完全之情的情况下做交互

--我可以自由地选择和外界的交互方式

总的来说,Metamask在他们的数据中发现,用户因不能理解私钥而导致注册转化率低因资产丢失而造成用户流失,所以他们认为需要提升产品体验,比如简化注册(钱包地址生成)、去私钥感知、密码修改和找回、账户变通通知和安全性保障。

04

技术正在发展

以太坊的历史遗留问题

为什么钱包的体验那么差,核心的原因是以太坊的技术底层,去中心化的设计让使用过程中需要理解私钥,签名等新概念。

作为应用生态最大的公链,以太坊早在2015年就开始启用。

由于当时的设计,其钱包由外部账号(EOA)智能合约构成,不具有账户抽象能力,需要通过私钥等复杂操作完成账号控制。

私钥生成、存储和使用决定了钱包运作方式

ERC-4337与MPC多方技术

由ERC-4337推动的智能合约钱包,和MPC技术推动的MPC钱包,可以让加密钱包实现邮箱/社交应用注册登录,密码修改,账户找回等功能,从而实现更好的加密账号体验。

当前EVM钱包结构

MPC钱包主要通过改变密钥层的方式,来提高安全性和用户体验,而智能合约钱包主要通过改变Provider来提升钱包的功能性,实现更多功能逻辑。

MPC技术将私钥通过分片、分散存储,链下多签来增加安全性和功能性

钱包发展现状

无论是智能合约钱包,还是MPC钱包,其发展仍处在早期阶段,存在标准不统一、兼容性差等问题。

服务商良莠不齐,有的甚至假借技术创新的名义,将私钥中心化储存,违背了行业去中心化的初衷。

但值得庆幸的是,我们看到行业中很多推动技术发展的积极信号,如METAMASK在近期就宣布将接入MPC技术,让开发者可以在他的生态上使用MPC去开发功能更完善,体验更好的钱包应用。

05

用户体验在靠近传统账号体系

加密技术的升级,正在让加密账号系统贴近传统互联网的体验。

无助记词

助记词的用户体验与互联网账号的用户体验形成明显的差别,遗失和黑客盗用等现象的不断出现,造成用户资产损失,这进一步阻碍了加密用户的增长。

无助记词并不是实际意义上的没有私钥,而是指不需要用户备份助记词 / 私钥或者感知到它们的存在

一个常见的问题是,如果用户不备份助记词,用户是不是就没有账户的控制权了?一旦用户切换新设备环境,账户不就无法访问了吗?

没错,只是把用户备份助记词的功能砍掉的话只能算是产品设计失误,而无助记词追求的是用户「不需要」知道助记词的存在,同时依然拥有账户的完全控制权。

也就是说,用户(且只有用户自己)拥有在新设备自主恢复账户控制的能力,MPC钱包和智能合约钱包正往这个方向探索。

社交恢复

社交恢复是指利用社交关系帮助用户在丢失密钥的情况下重新获得账户访问权的机制

如果你用微信登录过新设备,应该有过「让你的两个朋友发送 xxx 给你的账号以登录」的体验——这就是社交恢复想达到的效果,只不过验证方从微信变成了智能合约。

一种常见的误区是把利用社交账号来创建 / 登录钱包的方案称为社交恢复,这是错把「社交关系」与「社交平台账号」划了等号。

06

理想中的去中心化账号系统

用户“不确定思维”在其Mirror专栏中讨论了理想中的加密账号系统设计。

作者认为,在WEB3里,钱包、账户、身份的概念目前存在混淆,钱包就是账户,账户被当做身份。

实际身份是一个集合,而账户是我们使用应用的具象载体,是身份的外延。而加密钱包是我们账户的一种载体和验证方法。

去中心化身份可以被分为三个层次,分别是:代理身份、外显身份主权身份

代理身份

代理身份是一系列专属功能的账户,比如社交账户、游戏账户、交易账户、DeFi账户、匿名账户等等。

在这个模型中,所有的代理账户都可以是主权账户控制的合约账户,在发生危险时可以使用主权账户重置密钥,避免资产损失。同时可以延续各种行为画像。

这些代理账户是用户不同身份角色的代理,他们之前拥有独立用途安全边界。避免使用一个账户什么都做,在安全的基础上又能提供便捷的体验。

为什么要采用这种按照角色分离的账户设置?

角色分离的好处是可以将风险隔离,可以提升用户使用不同应用的体验。我们不需要每次关注人时,都打开硬件钱包授权。而在需要操作资产时,又可以进行更复杂的策略授权,避免不小心或恶意的被盗。

使用代理账账户,我们会担心代理账户产生的行为无法共享,会降低我们在一些场景下的评级。这个问题实际可以通过外显身份的设置来解决。

外显身份

外显身份是一系列凭证、标识、行为、关系、声誉的集合

我们可以简单的理解外显身份就是一个个身份标签,主要作用是方便外部关系对我们的身份进行标识。

比如ens、lens等就是一个标识的外显身份,他们的作用是在社交关系上让身份更加易读。

poap是一类行为轨迹的外显身份,它主要是标记我们参与了哪些活动,类似的还有galaxy、rabbithole等。

在vitalik的SBT论文中,提到灵魂绑定token的很多用处,实际都是这种外显身份的能力范围。比如我们的社交关系、信誉、学历证书等等,都可以采用SBT的方式,与我们的身份进行绑定。

在实际应用层面,外显身份实际可以与代理身份合一,他们可以就是同一个账户地址,只是在逻辑层面加以区别会更好的为用户提供服务,或是便于应用进行设计和体验提升。

比如有些用户更加注重安全和隐私,那么这种外显身份就可以是独立的账户,专门用户外部的展示和关系构建。

代理身份的行为映射完全可以通过隐私计算来完成,既可以让我们的身份更像一个整体,又可以让用户可以灵活的控制向外部展现哪些身份特征。

更进一步,我们可以灵活的构建多个外显身份,可以有更真实的,也可以有更匿名的。

这样会降低用户使用的心理门槛。

采用这种外显身份与代理身份分离的设计方式,直观好处就是让用户的微信账号与银行账号分离。而不是别人知道你的微信号,就可以直接看你银行资产,甚至可以看你的钱从哪赚的,怎么亏的。

主权身份

Not Your Keys, Not Your Coins.

这是Web3最重要的基础,是个人资产神圣不可侵犯的保障。

对密钥的安全管理,一直是参与加密游戏的最重要一课,很多人因为保管不善而损失资产。

而如何安全的保管密钥,相对来说也是一件比较专业的事,新用户很难短时间掌握,需要大量的实践和很多次突破心理防线,才能真正自己安全的用非托管钱包管理资产。

密钥就是我们的主权身份,它宣誓了一切都是自己可控的。而不像Web2那样说被禁用就被禁用。

而密钥的安全管理,一定是采用去中心化非托管的方式。这让我们能随时对自己的账户有控制权。

在未来架构中,这一身份可以是我们最不常使用的身份。只需要在创建代理身份时,用它来授权即可。当代理身份存在风险时,我们可以用它来充值代理身份的密钥,确保一切资产都在自己最终的可控范围。

只有处理好身份的关系,才能更好的让用户使用链上资产,使用各种Web3应用。

通过将去中心化身份进行分层设计,一方面可以让专业人做专业事,各项目如果能围绕一个大的共识方向去做,也能更快更好的实现高度可组合的身份产品矩阵,真实的让用户得到实惠。

另一方面,也是为了能让用户更好的理解Web3的身份账户概念,在先进来的前提下,通过更多的使用来慢慢了解和熟悉身份的安全管理。

07

结语

天下苦秦久矣,传统互联网的巨头长期掌握着用户数据所有权和使用权,通过数据谋取利润并制造出各种问题;各商业公司的账户系统和用户数据封闭,使用户和开发者不得不向其屈服。

加密世界正在以一种公开透明、模块化的方式进攻传统互联网的数据高墙,通过构建去中心化网络,将所有权和价值返还给用户,这让我们看到了加密领域的潜力。

数据表明当下加密应用仍是小众:在Devcon 6中的公布了一份数据,目前加密世界各主流公链DAU累计约为250万,而传统互联网的DAU为50亿,前者勉强够上后者的0.05%。

加密应用的普及与大规模用户增长可谓任重道远。

积极的是,加密技术的演进,正在努力解决用户体验和安全性不足的难题,不少创业者在努力地构建他们理想中地去中心化世界。

笔者相信,当用户体验、安全性提高到一定的程度,并伴随着加密应用生态的繁荣,我们可以看到加密世界走向下一个台阶。

参考文章:
《去中心化身份终局之战》——不确定思维

https://x.mirror.xyz/ryklG3EkLTollhnloi8sm0-QPuAuv0LOUVqa_pYEwkw