应该离开MetaMask了?
流行的 Web3 钱包 MetaMask 将用户自动连接到 Infura 的区块链服务器。这一操作不仅存储用户的以太坊地址,还存储 IP 地址。这是数据隐私的彻底失败。
MetaMask是一个很棒的钱包,可以作为智能手机的应用程序,也可以作为浏览器的插件,任何人都可以非常容易地在以太坊或Polygon等区块链上使用智能合约。用MetaMask交换代币或贷款比用闪电网络汇款更容易。
问题是,MetaMask在隐私方面做得有些过分。
最重要的规则
为了解释这一点,我们需要回顾一下。很少有用户直接使用以太坊,即通过完整节点。这是相当复杂和昂贵的。相反,大多数人在用户和完整节点之间使用一个钱包。例如MetaMask。当它被作为插件安装时,它能让浏览器支持Web3。
ConsenSys发布了MetaMask。默认情况下,浏览器钱包会连接到Infura网络上的一个节点,该节点是钱包和区块链之间的链接,并且由ConsenSys运行。因此,钱包和节点是在同一个保护伞下发布的,这会导致一些问题。
ConsenSys的隐私政策在11月23日更新,声明:“MetaMask和Infura都是公司的产品,Infura是MetaMask的默认远程过程调用(RPC)提供商。如果用户在MetaMask中使用Infura作为默认的RPC提供商,Infura将在用户发送交易时收集用户的IP地址和以太坊钱包地址。”
这听起来没什么,但它违反了一个重要的隐私规则:永远不要连接区块链和IP地址。当这两者连接时,它会将用户在区块链上的账户与用户的真实身份和物理位置连接起来。存储这些信息的数据库一旦被泄露,后果将是毁灭性的:意图不轨的人可能会知道用户拥有多少币,以及用户住在哪里。
因此,这是最重要的基本规则:永远不要将自己的区块链地址与自己的IP地址连接。
ConsenSys现在打破了这一规则。正如隐私政策中所说,这可能不仅发生在发送交易时,而且可能发生在用户打开钱包时。因为MetaMask会把所有的钱包地址发送给Infura来查询账户余额。从用户的角度来看,这是实用的,但从数据保护的角度来看,这是毁灭性的。
一切都没有改变
这引发了社交网络上社区的强烈反感。不久之后,ConsenSys阐明了它的含义以及它对数据的处理方式。
一切都没有改变,“我们相信透明度,希望确保所有用户都知道我们收集什么信息,我们用这些信息做什么。”他说,隐私政策的更新不会导致更多侵入性的数据收集或处理,这也不是为了回应监管变化或要求。
“我们的政策一直是确定的,当用户使用我们的网站时,某些信息会自动被收集,这些信息可能包括IP地址。当用户与以太坊或其他区块链交互时(例如当他们发送交易或查询余额时),会通过像Infura这样的RPC提供商,这样的提供商接收用户的IP地址和他们的钱包地址来执行服务。这不是Infura特有的,其与一般互联网架构的工作方式一致,就算我们正在努力寻找将影响降至最低的技术解决方案。”
这可能是为了让人安心。但说真的,这怎么可能呢?Infura已经收集数据很长时间了。
服务器需要地址来提供服务是可以理解的。但是他们为什么要储存它们呢?他们为什么不删掉呢?
最关键的问题是:用户能保护自己吗?如果是,怎么做?
对于那些熟悉的人:替代RPC端点
好在Web3不仅仅是一个新的 PayPal 或 Amazon。其架构是开放的。虽然不能保证不会有害群之马,但我们可以更换供应商。这将Web3与典型的网络区别开来,在典型的网络中,像PayPal这样的巨头形成了封闭的系统。如果我们想逃离PayPal或Amazon,就必须离开支付网络或市场。
ConsenSys本身在其隐私政策中给出了一个提示:“如果你使用自己的以太坊节点或另一方作为带有MetaMask的RPC提供商,Infura和MetaMask都不会收集你的IP地址或以太坊地址(但你应该意识到其他RPC提供商可能会收集这些信息)。”
收集数据的不是MetaMask—而是RPC端点Infura。这听起来像是出于实用主义而不是出于恶意收集信息。
理想的情况是将节点连接到MetaMask。然而,这可能只对其中一些人是现实的。
看看chainlist.org就会发现有一长串用于以太坊的公开可用RPC端点。列表中有一个隐私等级,但建议还是自己阅读每种情况下的隐私政策。
然而,MetaMask中的RPC开关可能会更加直接。这是因为Infura是硬编码的。我们不必更改URL,而是需要在设置中添加一个Chain ID为1的新网络。
这种解决方案很方便:工作量低,不需要安装新软件,保留自己的帐户和地址,钱包知道我们的代币,并且可以继续按照一般的工作流程使用Web3。但是,建议使用Infura还不知道的新地址。
替代钱包
另一个解决方案是使用不同的钱包。
现在也有很多选择。一个经典的例子是MyEtherWallet (MEW),它既可用于智能手机,也可与加密技术一起用于浏览器。MEW明确声明他们不收集任何数据。AlphaWallet也有很好的用户体验,尽管可能需要学习更多关于数据保护的知识。
此外,还有许多其他钱包,例如Rabby、XDEFI、Blockwallet、Frame、Tally Ho和Trust Wallet。这些钱包通常作为智能手机的应用程序或浏览器的插件,它们允许用户通过不同方法使用常见的Web3应用程序。
Blockwallet宣称在用户和节点之间放置一个隐私代理;Frame宣传了对隐私的关注。
Scan QR code with WeChat