چند روز پیش، ConsenSys خود را به روز کرد سیاست حفظ حریم خصوصی، که در آن یک پاراگراف به کیف پول MetaMask و خط مشی ورود به سیستم اختصاص داده شده است.
کیف پول MetaMask و سیاست جدید ورود به سیستم
MetaMask یکی از پرکاربردترین کیف پولهای اتریوم در جهان است که بیش از 21 میلیون کاربر فعال ماهانه دارد، تا حدی به این دلیل که با افزونه مرورگر کار میکند که به کیف پول کریپتو اجازه میدهد به راحتی و به سرعت به بسیاری از وبسایتها لینک شود.
ConsenSys Software Inc. دقیقاً شرکتی است که این کیف پول را تولید و عرضه می کند، بنابراین اظهارات آن در مورد آن رسمی است.
MetaMask به کاربران اجازه می دهد تا کلیدهای خصوصی خود را ذخیره و مدیریت کنند، بنابراین یک کیف پول غیرقانونی است. بدیهی است که برای دریافت و ارسال ارزهای دیجیتال و توکن های مبتنی بر اتریوم استفاده می شود، با این ویژگی که می توان آن را به راحتی به وب سایت ها و برنامه های غیرمتمرکز مختلف متصل کرد.
به این ترتیب، نه تنها انجام تراکنشها را در واقع به روشی بسیار ساده ممکن میسازد، بلکه به وبسایتها و dApps خود اجازه میدهد تا کاربر را در قراردادهای هوشمند احراز هویت کنند، البته به صورت ناشناس.
یکی از انتقاداتی که همیشه به این راه حل وارد می شود دقیقاً در مدیریت داده های کاربران است.
اگرچه از نظر تئوری، کیف پول غیر حافظ باید کاربر را در کنترل کامل و انحصاری دادههای خود قرار دهد و از سطح خوبی از حریم خصوصی اطمینان حاصل کند، در واقعیت، به طور بالقوه میتواند اطلاعاتی را جمعآوری و با اشخاص ثالث به اشتراک بگذارد که کاربران را قابل شناسایی کند.
ضبط IP هنگام ورود با استفاده از کیف پول MetaMask
بنابراین ثبت IP کاربر تنها باعث افزایش انتقاد در این زمینه می شود.
پاراگراف در سیاست حفظ حریم خصوصی جدید ConsenSys می گوید که هنگام استفاده از Infura به عنوان ارائه دهنده پیش فرض RPC در MetaMask، Infura آدرس IP کاربران و آدرس های کیف پول اتریوم را هنگام ارسال تراکنش جمع آوری می کند.
به کسانی که نمیخواهند این دادهها جمعآوری شود، میتوانند از یک ارائهدهنده RPC شخص ثالث یا گره اتریوم خودشان استفاده کنند. با این حال، ConsenSys هشدار می دهد که سایر ارائه دهندگان RPC نیز این اطلاعات را جمع آوری می کنند.
شایان ذکر است که ارائه دهنده Infura RPC توسط خود ConsenSys توسعه یافته است و ارائه دهنده پیش فرض در MetaMask است.
بنابراین به طور پیشفرض ConsenSys آدرسهای IP کاربران MetaMask را هنگام انجام تراکنش جمعآوری میکند، و به عنوان یک جایگزین، تنها انتخاب صریح ارائهدهنده RPC دیگر را ارائه میکند، اما بدون اینکه مشخص کند کدام یک از IPهای کاربر جمعآوری نمیکنند.
سایر اطلاعات جمع آوری شده
صفحه سیاست حفظ حریم خصوصی ConsenSys جدید همچنین سایر اطلاعات جمع آوری شده را فهرست می کند، اگرچه این اطلاعات در پاراگراف های متفاوتی نسبت به پاراگراف اختصاص داده شده به MetaMask فهرست شده است.
برخی از این اطلاعات به طور مستقیم و صریح از کاربر خواسته می شود که ممکن است شامل نام و نام خانوادگی، تاریخ تولد، آدرس پستی، آدرس ایمیل، شماره تلفن و غیره باشد.
با این حال، موارد دیگر بهطور پیشفرض هنگام استفاده از سایر خدمات ConsenSys جمعآوری میشوند، برای مثال Codefi همچنین کشور و محل تولد، ملیت، شماره تأمین اجتماعی، کارفرما، شغل، شناسه و سایر اطلاعات لازم برای مطابقت با ضد پول شما را جمعآوری میکند. قوانین شستشو (AML) و الزامات KYC.
با این حال، ConsenSys در این صفحه همه این اطلاعات را عمومی و آشکار می کند تا کاربران بتوانند به خوبی از اطلاعاتی که به شرکت تحویل می دهند مطلع شوند.
ConsenSys برای همه مقاصد یک شرکت خصوصی است که در سال 2014 توسط جوزف لوبین، مستقر در شهر نیویورک تاسیس شد. بیش از 500 کارمند دارد و هیچ اطلاعاتی در مورد مالکیت یا درآمد سهامداران در دسترس عموم نیست.
Infur به
کیف پول هایی مانند MetaMask حاوی یک Ethereum گره داخل آنها بنابراین آنها برای عملکرد باید با گره های خارجی متصل شوند.
بهطور پیشفرض، ارائهدهنده RPC (تماس رویه از راه دور) که آنها استفاده میکنند Infura است که در عوض گرههای بلاک چین را مدیریت میکند. هنگامی که شخصی در MetaMask تراکنش انجام می دهد، به Infura متصل می شود، که تراکنش را به بلاک چین اتریوم منتقل می کند. اتصال از طریق "تماس رویه از راه دور" انجام می شود، که تمام داده ها را به Infura ارسال می کند تا بتواند تراکنش را به شبکه اتریوم منتقل کند.
هنگام نصب MetaMask، ارائه دهنده RPC از پیش تعیین شده دقیقاً Infura است، بنابراین اگر کاربر آن را تغییر ندهد، هنگام ارسال تراکنش، IP او ثبت می شود.
با این حال، سایر ارائه دهندگان RPC نیز در دسترس هستند که کاربران می توانند MetaMask را به منظور عدم استفاده از Infura به آنها متصل کنند. با این حال، باید احتیاط کرد زیرا مطمئن نیست که سایر ارائه دهندگان RPC واقعا بهتر هستند.
ریسک ها
بزرگترین خطر در این مرحله این است که تراکنش های زنجیره ای فرد قابل تشخیص باشد.
تمام دادههای تراکنش زنجیرهای در اتریوم عمومی و به صورت متن ساده، از جمله آدرس کیف پول فرستنده است. با این حال، این دادههای ناشناس هستند که ردیابی هویت صاحب کیف پول از آن بسیار دشوار است.
ضبط IP روی زنجیره این مشکل را کاهش می دهد و در نهایت شناسایی مالک را تا حدودی آسان تر می کند.
حقیقتاً، ConsenSys اطلاعات کمی برای شناسایی کاربران دارد، اگرچه با استفاده ساده از MetaMask این شناسایی ممکن است هنوز دشوار باشد. با این حال، اگر از ابزارهای دیگر مانند Codefi نیز استفاده شود، شناسایی بسیار آسان تر می شود.
با این وجود، اطلاعات جمعآوریشده توسط ConsenSys در مورد کاربرانش عمومی نمیشود و تنها برخی از دادههای ناشناس در بلاک چین ثبت میشوند.
در نهایت باید اضافه کرد که در واقعیت بسیاری از کاربرانی که مایل به حفظ سطح بالایی از ناشناس ماندن هستند، از ابزارهایی برای مخفی کردن یا تغییر IP خود استفاده می کنند، مانند به اصطلاح VPN، بنابراین حتی در مواردی که ارائه دهنده RPC این داده ها را ثبت می کند، استفاده از آن برای شناسایی صاحب کیف تقریباً غیرممکن است.
منبع: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/