流行的 Web3 钱包 MetaMask 将用户自动连接到 Infura 的区块链服务器。这一操作不仅存储用户的以太坊地址,还存储 IP 地址。这是数据隐私的彻底失败。
MetaMask 是一个很棒的钱包,可以作为智能手机的应用程序,也可以作为浏览器的插件,任何人都可以非常容易地在以太坊或 Polygon 等区块链上使用智能合约。用 MetaMask 交换代币或贷款比用闪电网络汇款更容易。
问题是,MetaMask 在隐私方面做得有些过分。
最重要的规则
为了解释这一点,我们需要回顾一下。很少有用户直接使用以太坊,即通过完整节点。这是相当复杂和昂贵的。相反,大多数人在用户和完整节点之间使用一个钱包。例如 MetaMask。当它被作为插件安装时,它能让浏览器支持 Web3。
ConsenSys 发布了 MetaMask。默认情况下,浏览器钱包会连接到 Infura 网络上的一个节点,该节点是钱包和区块链之间的链接,并且由 ConsenSys 运行。因此,钱包和节点是在同一个保护伞下发布的,这会导致一些问题。
ConsenSys 的隐私政策在 11 月 23 日更新,声明:「MetaMask 和 Infura 都是公司的产品,Infura 是 MetaMask 的默认远程过程调用 (RPC) 提供商。如果用户在 MetaMask 中使用 Infura 作为默认的 RPC 提供商,Infura 将在用户发送交易时收集用户的 IP 地址和以太坊钱包地址。」
这听起来没什么,但它违反了一个重要的隐私规则:永远不要连接区块链和 IP 地址。当这两者连接时,它会将用户在区块链上的账户与用户的真实身份和物理位置连接起来。存储这些信息的数据库一旦被泄露,后果将是毁灭性的:意图不轨的人可能会知道用户拥有多少币,以及用户住在哪里。
因此,这是最重要的基本规则:永远不要将自己的区块链地址与自己的 IP 地址连接。
ConsenSys 现在打破了这一规则。正如隐私政策中所说,这可能不仅发生在发送交易时,而且可能发生在用户打开钱包时。因为 MetaMask 会把所有的钱包地址发送给 Infura 来查询账户余额。从用户的角度来看,这是实用的,但从数据保护的角度来看,这是毁灭性的。
一切都没有改变
这引发了社交网络上社区的强烈反感。不久之后,ConsenSys 阐明了它的含义以及它对数据的处理方式。
一切都没有改变,「我们相信透明度,希望确保所有用户都知道我们收集什么信息,我们用这些信息做什么。」他说,隐私政策的更新不会导致更多侵入性的数据收集或处理,这也不是为了回应监管变化或要求。
「我们的政策一直是确定的,当用户使用我们的网站时,某些信息会自动被收集,这些信息可能包括 IP 地址。当用户与以太坊或其他区块链交互时(例如当他们发送交易或查询余额时),会通过像 Infura 这样的 RPC 提供商,这样的提供商接收用户的 IP 地址和他们的钱包地址来执行服务。这不是 Infura 特有的,其与一般互联网架构的工作方式一致,就算我们正在努力寻找将影响降至最低的技术解决方案。」
这可能是为了让人安心。但说真的,这怎么可能呢?Infura 已经收集数据很长时间了。
服务器需要地址来提供服务是可以理解的。但是他们为什么要储存它们呢?他们为什么不删掉呢?
最关键的问题是:用户能保护自己吗?如果是,怎么做?
对于那些熟悉的人:替代 RPC 端点
好在 Web3 不仅仅是一个新的 PayPal 或 Amazon。其架构是开放的。虽然不能保证不会有害群之马,但我们可以更换供应商。这将 Web3 与典型的网络区别开来,在典型的网络中,像 PayPal 这样的巨头形成了封闭的系统。如果我们想逃离 PayPal 或 Amazon,就必须离开支付网络或市场。
ConsenSys 本身在其隐私政策中给出了一个提示:「如果你使用自己的以太坊节点或另一方作为带有 MetaMask 的 RPC 提供商,Infura 和 MetaMask 都不会收集你的 IP 地址或以太坊地址 ( 但你应该意识到其他 RPC 提供商可能会收集这些信息 )。」
收集数据的不是 MetaMask—而是 RPC 端点 Infura。这听起来像是出于实用主义而不是出于恶意收集信息。
理想的情况是将节点连接到 MetaMask。然而,这可能只对其中一些人是现实的。
看看 chainlist.org 就会发现有一长串用于以太坊的公开可用 RPC 端点。列表中有一个隐私等级,但建议还是自己阅读每种情况下的隐私政策。
然而,MetaMask 中的 RPC 开关可能会更加直接。这是因为 Infura 是硬编码的。我们不必更改 URL,而是需要在设置中添加一个 Chain ID 为 1 的新网络。
这种解决方案很方便:工作量低,不需要安装新软件,保留自己的帐户和地址,钱包知道我们的代币,并且可以继续按照一般的工作流程使用 Web3。但是,建议使用 Infura 还不知道的新地址。
替代钱包
另一个解决方案是使用不同的钱包。
现在也有很多选择。一个经典的例子是 MyEtherWallet (MEW),它既可用于智能手机,也可与加密技术一起用于浏览器。MEW 明确声明他们不收集任何数据。AlphaWallet 也有很好的用户体验,尽管可能需要学习更多关于数据保护的知识。
此外,还有许多其他钱包,例如 Rabby、XDEFI、Blockwallet、Frame、Tally Ho 和 Trust Wallet。这些钱包通常作为智能手机的应用程序或浏览器的插件,它们允许用户通过不同方法使用常见的 Web3 应用程序。
Blockwallet 宣称在用户和节点之间放置一个隐私代理;Frame 宣传了对隐私的关注。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
