微博大 V 、BitClout 中文社区爱好者「ScriptMoney」对 Blocklike 作出了进一步的解读。

「如果只是从截图中的 API 请求来看，平台管理人员应该不会有看到私钥的可能性。对于推特用户 @pasr0m 提出的质疑，目前这个问题官方应该已经解决了。现在，我在浏览器存储里并未找到私钥，助记词也并未在请求里找到。私钥在签名时是必须的，这一环节无法避免。不过，这里的私钥通过加密发送，走的 https（https 防止网络通信拦截），发送请求，我认为就像传统的用户密码 MD5 加密那样，无法反编译看到明文助记词，但是能验证真实性。」

「ScriptMoney」进一步解释称，以往的以太坊 DAPP 中，可以直接在链上广播请求。BitClout 是向服务端发送请求，服务端再往区块链广播。」

在这场争议中，客户端为本地浏览器，服务端即 BitClout 团队方，去中心化的社交产品依靠中心化的方式运作，潜在风险时刻存在。

可以认为，这也是目前大多数加密项目团队存在的风险：「以目前最火的 NFT TopShot 为例，假设一个卡包被多个人争相购买，那么这些请求将优先发送到后端，并在这里被判断哪位投资者最先抢到，而不是通过比较谁的 Gas 费用更高来决定谁先抢到」。

对于每一个加密行业的产品来讲，在可用性、传输速度和安全性之间取得平衡总是很困难的。由于 BitClout 自带「社区币」的敏感属性，这种去中心化团队的「中心化风险」似乎被放大。

一方面，质疑者无法忽视浏览器内签名所带来的风险，一位区块链审计领域的推特用户认为：「即使是本地浏览器，也不应当将密钥转移或保存到这些地方。对于 BitClout 这类像 MyEtherWallet 一样、涉及到金融交易的敏感产品，目前的安全性是不足的，仍然建议投资者停止使用 Web 版本」。

James Prestwich 也认为，浏览器内签名（in-browser signing）在加密领域也被公认为是有风险的，这并不是一个好的解决方案。

而另一方面，很多参与者并未将这种风险放在首要位置。一位交易员认为，这种风险仍在可接受的范围之内，如果密钥不会被窃取，作为交易员的他愿意去「掷骰子」。

还有投资人看到的是，在当前阶段，私钥泄露并非用户所面临的最大风险。由于目前用户只能用 BTC 兑换 BitClout 币，尚无法将 BitClout 币卖出为 BTC 并提出，只能通过场外交易获取收益，资金的流动问题更应该被重视。

也有人将这种方式解读为一种无奈之举：「这样方法能够降低用户的 UX 障碍。这种策略可能是让普通人使用 DApp 的唯一方法，而关于数币货币钱包的市场教育可能要在这之后再普及了。」

的确，自推出以来，BitClout 呈现出了「又黑又红」的走势。该平台诞生之初，「BitClout 被爆存跑路风险」、「审查机制缺失」、「冒名账号频出」、「平台所募资金归集同一个地址」等等问题曾接连被爆出，又在争议中从出生发展到了今天。 (责任编辑：admin)