【塊轉Web3】助記詞、私鑰掰掰！掃描指紋就能解鎖錢包，Web3如何實現「iPhone時刻」？

JoyID是什麼？

Q：JoyID這個項目是用什麼方法來達到所謂的iPhone時刻？

我覺得最好的Web3的用戶體驗，是不要讓用戶知道他是Web3。

我大概2010年開始創業，那個時候最流行的概念是移動網路，但是現在沒有任何人再提這個概念，因為所有的網路都是移動網路，或者它就是一張網。所以JoyID的理念也是這樣，用戶用的時候，其實流程就是在跟應用做一個交互。雖然NFT是存在錢包、帳戶裡面，但是可能沒有那麼明顯，要直到下一次在其他的應用裡面，才會知道所有的資產釋放。

那我們是怎麼做到的呢？其實現有的所有硬體設備裡，都有一個東西叫做安全晶片。這個安全晶片當然不是特別為了區塊鏈打造的，他就是用來儲存手機中的私密資訊，像Apple care、Google care等。這個晶片必須有對外公開訪問的接口，而這個接口是用來給應用程式來建立和訪問公私鑰，所以我們就做了這樣一層的橋接，把硬體設備產生的非對稱的密鑰和區塊鏈帳戶做連接。

我們用了帳戶抽象的技術，讓多臺設備或多個指紋，可以對應到一個帳戶啊。這樣的話，用戶就可以用手機、電腦、筆電等，都可以使用。

Q：JoyID怎麼做到資訊上的安全？

其實我們也是依賴於整個基礎設施的技術進步。JoyID依賴的是帳戶抽象和通行密鑰（Passkeys）兩大技術。

通行密鑰實際上不是我們主導的，是整個產業界包括Apple、Google、Facebook、Microsoft所有這些巨頭公司，他們共同在推廣的一個技術，這也是為什麼它的兼容性會這麼好。這個技術要做的事情，就是在硬體設備裡插入晶片。

這個晶片在就是一顆加解密的晶片，且內部有儲存區，而第三方沒有任何辦法可以把資料讀出來，只能請求它簽名之類的動作。

這個技術對於大公司來說，是用來取代現有的密碼。我們經常聽說各種服務器被盜的事件啊，無論是內部的人還是外部的人，把服務器的數據庫洩漏出來說，然後得到用戶名、密碼。因為我們的用戶名和密碼都是存在服務器裡，否則沒辦法驗證我們的身份，那這個時候就會出現非常多的外洩可能。

所以用戶的密碼如何自己保管以及失竊問題，同樣也是Web2世界裡面的一個常見的問題。所以通行密鑰出現之後，我們其實就不需要密碼了。我們用的就是指紋對應背後的公私鑰對，服務器實際上保存的是公鑰，用戶每次登錄的時候，用簽名來證明身份。因為用戶自己根本都拿不到密鑰，所以也就沒有弄丟的問題。

那通行密鑰的問題在於，每一台設備都會有一個密鑰，不同的設備沒辦法進行關聯，背後還是需要有個外部的email帳戶來做連結。這就導致email被盜了，實際上還是會受到影響。

JoyID用公私鑰對來做用戶的身份認證，但是公私鑰對的匹配並是中心化的，透過智慧合約進行。其次，不同的廠商產生的這個公鑰，都在區塊鏈上關聯起來。這就是高於蘋果和安卓的一個原因，因為蘋果和安卓之間肯定互相不信任，對吧？但是，大家都可以在區塊鏈上登記不同設備的公鑰，那這個技術我們就叫做帳戶抽象技術。

它的安全性在於什麼呢？它的安全性實際上和Apple Pay的安全性是同一個等級的，這已經幾乎是最高等級。你可以想像你的Windows電腦被別人遠端控制會有什麼後果？但是即使是這樣，你的資產依然是安全的，為什麼？因為在遠端，沒有辦法繞開生物識別、指紋和人臉識別，所以它的安全性的是最高等級的。

Q：區塊鏈手機和JoyID的差別又是什麼呢？

其實Solana推出的區塊鏈手機Saga，並不是目前唯一的一個嘗試，過去也推出過類似的產品。

這個其實蠻有意思的，我可以講一講我個人的一些創業經歷啊。大概在2014、15年左右，我的創業項目是一個像信用卡大小的藍牙卡片，裡面有電池、CPU、藍牙、安全晶片等等。

簡單來講，它就是一個外置的Apple Pay。但在那個時候還沒有Apple Pay，所以我想解決的就是把各種卡片都下載到一個設備裡面，用這一張卡片去代替所有的錢包。

那時候成本其實蠻高的，大概人民幣100多塊錢一個，銷售價格可能200多塊錢。其實這個就很像現在的這個區塊鏈手機，我為了推廣一個技術，不得不去銷售一個硬體產品。後來在2017年左右，蘋果推出Apple Pay之後，這個產品瞬間就沒有吸引力了，因為所有人都有手機；Google推出Google Pay，所有人都有NFC。

實際上這些公司只是透過軟體升級，來增加支付的功能。所以在這個方面就不可能實現真正的大規模採用，因為不能要求別人購買你的新設備，所以這也是我從過去的歷史上學到的教訓。

實際上我們在2018年左右，我們就自己研發過SIM卡晶片塞進簽名算法。當時是用一個藍牙SIM卡，這個SIM卡本身是沒辦法跟手機APP進行直接通訊，我們透過手機藍牙的方式，去連接這個SIM卡裡面的藍牙晶片來做簽名。

所有的技術我們都有，但是最後我們沒有推出，理由非常簡單，就是邊際成本限制了發展。所以這也是為什麼JoyID，是一個純軟體的解決方案，而且它是跨平臺的，不論是Windows、MacOS、iOS、Android，所有的現代設備都可以用，那它的邊際成本就是零。

🛎️延伸閱讀： 【開箱】區塊鏈手機Saga來了！手機即錢包、照片秒變NFT，值得買嗎？用戶揭秘第一手心得

Q：未來可能創造出那些應用？

假設我們有1000萬一億10億用戶擁進來，你不可能期待他們還在玩現在可能這幫人玩的DeFi，或是小圖片來回炒作這類東西。

我經常跟大家講說NFT是個非常好的東西，但是區塊鏈之外的人經常會被誤導。他們往往認為NFT就是拿一個IP，製作1萬張圖片，然後賣出去，去2級市場做事，然後引韭菜進來賺錢。

但是你想想這個邏輯，對於現有的一些品牌啊，比如說Starbucks、名人、創作者等等，他們是要珍惜自己的羽毛的。拿NFT去賣錢這件事情，他當然可以去嘗試，但肯定不是他的主要業務，因為他可能有100種賺錢的方式。直接把自己的品牌塑造成一個圖片去銷售，這個一定是效果最低的。

首先他也賣不了多少錢，其次，他賣的對象可能都是幣圈的人、區塊鏈圈的人，這些人目的都是來炒作，根本不是品牌想要的目的。

所以我認為最終要實現大規模採用，一定是新的東西。比如說看電影好了，我們現在看電影依然需要一張電子的票或者是紙製的票。但如何證明你之前看過這個電影？或者我看完這個電影之後，是不是再也不會跟這個電影的主創、主演、發行方產生任何的互動關係？

因為現在的電影票都是通過代理一層一層賣出去。我知道可能票房有幾個億、幾千萬，但是我根本不知道哪一個具體的人是我的用戶。如果每一張電影票後面都免費附贈一個跟電影人物有關的、或和電影情節有關的NFT，這個成本對於發行商來說約等於零，因為只是個軟體。

但是對於用戶來講，他是觀眾，肯定就很願意去收藏這個東西，甚至是願意交換收集等等。那品牌就可以穿透所有的銷售環節，直接知道哪個用戶持有了電影票根、知道誰是用戶，就可以繼續做活動或是宣傳。比如說下次這個導演拍的電影，或者這個主演的電影，你持有上一次的票根或NFT，就可以有九折優惠。或者是說只有持有這個票，才能參與影評。

類似的場景其實非常非常的多，比如說買咖啡，你的收據上就有一個QRCode，掃一下就可以得到一個NFT。這個NFT可能是普通版本的，但是也有機率是稀有版本的；在店慶的時候，可以有特殊版本；或者是不同的店，有不同的版本。這就自然形成了一種會員的價值。比如說我是星巴克的忠實用戶，我很可能願意收集全新加坡100個200個特色的NFT；甚至是說跟歐洲的朋友互換。

但是這裡面還有一個很關鍵的點，就是web3帶來的可組合性。過去可能Starbucks的會員體系，積分交換、活動什麼的都可以做，但是必須企業自己開發。開發的團隊不是創業團隊，是聽從老闆的指令去開發的，可想而知開發的品質和創新度可能會受限。

但是在Web3世界，比如說繼續以這個電影為舉例，我只要把電影票根發下去，假設有200萬人持有這個電影NFT，剩下的所有事情，作為發行方，都不用管。

這些持有資產的用戶，馬上就會有第三方創業團隊會做引擎網站，只有持有NFT才可以在進入，或是馬上有遊戲公司做遊戲網站，對方也可以賺錢，用戶也很開心，而你把這個IP做得更大。

所以我想說的是，在Web3的這個世界裡面，一定會出現新的場景，而這個新的場景並不是我們現在看到Web2的場景，或是現在的幣圈用戶。現在的幣圈用戶群有99%，都是投機用戶，而真正的web3的大規模採用的用戶，會是日常的用戶、是消費用戶，而這是兩種不同的用戶。

Web3世界普及的關鍵？

Q：怎麼真正地做到大規模採用？目前看到的困難有哪些？

這件事情一直有在討論，但整個路徑上有非常多的問題。除了用戶體驗、技術、成本，還有產品本身，可以分成三大門檻來解釋。

門檻一：容量問題

區塊鏈經常說「擴容」，擴容能把「TPS」（每秒交易處理量）提高多少倍？

我們知道比特幣的TPS大概是7，以太坊大概10到20，Polygon可能100到200，但這些數據都完全不可能做到大規模採用，或是像現在Web2世界裡，Twitter或VISA上千上萬的TPS。

門檻二：用戶怎麼進來？

以太坊的ERC-4337，似乎也是要解決這個問題，但ERC-4337也有很多的問題。雖然它嘗試要去解決，但實際上，它能解決的是「如果用戶帳戶不見，該如何恢復」，很難實現像JoyID這樣，透過硬體設備、指紋來建立帳戶。

🛎️延伸閱讀： 不必記註記詞、私鑰不見也不擔心！以太坊「ERC-4337」標準是什麼？從三大優勢看懂

門檻三：費用

比如說，我們已經習慣在Web2世界中，去Google搜尋、找蘋果的應用程式，這些過程基本上都是不需要付費的。但是在區塊鏈上，就必須要付費。ERC-4337雖然可以「代用戶付費」，但是這個費用太高，可能也不是所有的代理商都能承擔得了。

但是當以上這些所有問題都解決了，事實上也還未必能完全實現大規模採用。最關鍵的問題點在於，這些新來的人要做什麼？

現在最多人使用的小狐狸錢包MetaMask的用戶，大概是2000到3000萬的量級，實際上整個區塊鏈上的活躍用戶，可能也就是10萬到100萬。那假設今天到達一億名用戶的量級，其實差不多也就是現在Web2的用戶數，不能期待新來的這100倍的用戶，全都是在玩現在的服務和產品。

所以這裡的真正的挑戰是，在大規模採用後，這些新進來的用戶要玩什麼？

Q：「不懂私鑰，就別玩Web3了！」對這句話有什麼看法？

我覺得這裡面其實是有一些歷史原因的，首先我們知道，幣圈裡面流行的一句話是「不是自己掌管的鑰匙，就不是自己的資產」（Not your keys not your coins）。

也就是說，如果你的私鑰是透過別人託管，或依賴多方託管的，那其實你的資產就不完全屬於你。這句話沒有任何問題，但是這句話和「我不懂私鑰，我就不配擁有區塊鏈資產」，我覺得這裡面還是有區別的。

但是這裡面的一個歷史原因是什麼呢？

其實在2014、2015年比特幣全球開始大熱的同時，大家就開始探索能不能跳過私鑰管理的這個環節。但如果委託別人，比如說中心化交易所、中心化錢包、中心化的理財產品等，其實過去歷史上也出現了非常多跑路的情況。

那也有一部分人，就想了另外一種很「聰明」的辦法，當時有個概念叫做「腦錢包」。就是用戶不用記私鑰，可能把聖經裡面的一句話背下來、或是某篇散文裡面的一句話，拼起來的結果就是私鑰，並用它來管理比特幣資產。

這個曾經流行過大概半年時間，但是後來出現非常大的問題，因為別人其實還是可以辨認這些東西，並且破解。

所以從那個時候開始就有人認為，沒有第3條路了。不是信任別人、把資產託付給別人，要不然就是自己去學那些很艱澀的東西，自己把它搞明白，否則就不配擁有。所以這個觀點是從那裡來的。

但是我們可以看到，隨著技術的進步，實際上我們有一種機會，即使不需要理解這些技術，用戶也可以安全地使用產品或者資產。典型的案例就是信用卡、悠遊卡這些東西，它裡面其實保留了餘額，因為它裡面有一個東西叫安全晶片。這個晶片幫我們處理所有的東西，但是私鑰也不會流出去，所以我覺得，隨著技術的進步，實際上我們是可以突破這樣一個兩難的境地。