以太坊能显示用户位置信息？它正在以一个不为人知的方式泄露个人信息

NABF（North American Blockchain Foundation）北美区块链基金会致力于区块链技术的研发，应用和推广。

全文字数： 2465

阅读时间： 8 分钟

“人们没有意识到有多少信息是正在被公开的。”

这是负责管理以太坊软件客户端Geth的开发的以太坊核心开发人员PéterSzilágyi说的一句话。他指的是：人们很少关注以太坊的底层网络层，其中信息以复杂、不可预测的方式暴露。

事实上，人们已经意识到这种风险的影响导致了如何在应用程序级别更好地模糊用户数据的研究中不断加速，这是一个完全透明的系统，它发布了区块链的智能合约和交易数据本身。

Szilágyi在一次采访中描述了市场资本化背后的世界第二大区块链作为“黑暗魔法”P2P组件。

上周在布拉格举行的年度开发者大会Devcon4的演讲中突显了这种状况。Szilágyi详细介绍了一些可能导致用户元数据随时间泄漏的问题，在最糟糕的情况下，为精确的全球以太网用户位置地图提供基础。

在上周五的演讲中，Szilágyi专注于两种可能发生这种情况的方式，重点关注了流行区块链浏览器、Etherscan和“light客户”等网站，还有如移动或基于浏览器的应用程序。

Szilágyi告诉我们：“当人们从完整的节点过渡时，他们放弃了某些保证，我只想强调可能出现的潜在问题。”Szilágyi在追求一个辅助项目之后开始遇到这些问题：Facebook的替代方案是去中心化的、私有的。作为研究的结果，Szilágyi表示，元数据泄漏使得与其他人匿名互动变得困难。

Szilágyi解释说：“我们在以太坊中不会再出现类似的问题，这些隐私信息的泄漏已经开始困扰我的原因正是因为该项目。”

Szilágyi周五发表讲话称，许多问题根深蒂固，以至于很难解决这些问题而不会冒破坏以太空运行的应用程序的风险。尽管如此，开发人员还是详细说明了可以减轻用户风险的方法。

他告诉我们：“区块链和以太坊中的大多数人都希望建立在顶层，而底层有一个团队从事肮脏的工作。”

他补充道：

“这不是他们无法解决的问题，而是有人需要了解他们的存在。”

'奇怪的跟踪者'

在Devcon演讲期间，Szilágyi通过与以太坊的互动，打破了敏感用户信息暴露的各种往常的方式。

Szilágyi以Etherscan为例，表示当用户访问网站时，网站会显示一个特定的组合，即用户IP地址与其以太网地址之间的链接。

这是值得注意的，因为作为唯一的计算机识别号码，IP地址显示用户位置数据，当与以太坊钱包帐户结合时，这可能构成高风险。

此信息与Google Analytics和Etherscan共享。此外，Etherscan的基础评论工具，一个名为Disqus的热门网站评论插件 - 也会收到此信息，并进一步与其合作伙伴分享该活动。

Szilágyi说：“Disqus实际上揭示了IP到太空的地址映射到Facebook，Twitter和Google Plus。”

Disqus总共有11个这样的集成，例如YouTube，Vimeo和其他服务，它们也提供了这些信息。Szilágyi解释说，该工具还包含其他“奇怪的跟踪器”，即包括人工智能平台和数据市场。

这是值得注意的，因为它不仅影响Etherscan，而且影响使用相同工具的任何去中心化应用程序（dapp）。

Szilágyi继续道：“这是一个问题，因为你实际上是在关联你的IP到以太坊地址映射，而你正在向很多服务揭示它。”Szilágyi说，Etherscan已采取措施消除这些功能。目前，它使用谷歌分析，但其背后的团队正在寻求从网站中删除该方面。一旦依赖外部广告公司，Etherscan也会采取措施将广告网络内部化。

Szilágyi表示，受影响的其他dapps可能不像Etherscan那样积极主动地解决信息泄露的问题。

他解释说：

“我们让Etherscan修复它，但是我们可以得到随机的dapp 2000来修复它吗？可能不会。所以用户也需要保护自己。”

Szilágyi继续使用Infura、MetaMask和MyCryptoWallet等同样的信息，在用户访问其他服务时IP到以太坊地址将会被共享。

探索协议

Szilágyi围绕这一困境提供了一些其他途径，包括使用Tor网络隐藏IP地址和使用Brave浏览器阻止在线跟踪器。

但开发人员表示，还有其他更微妙的方式可以访问以太坊也可以暴露敏感信息。

以轻客户端为例：以太空用户访问网络的简化，低存储方式。Szilágyi说，网络上有两种高度可追踪的活动。

第一个是所谓的“探索协议”。

当轻型客户端连接到以太坊网络时，也会显示IP。由于轻客户端会不断重新连接，因此发现协议会显示准确的用户位置图。

Szilágyi说：“每次我连接到网络时，我实际上向网络透露，这台机器上周在柏林，本周在布拉格。”

此位置数据是公开的，因此理论上，任何人都可以扫描网络以构建高度准确的全球以太坊用户位置地图。

Szilágyi说：“如果你愿意这样做，例如，每天，只是尝试每天扫描网络，那么实际上你可以创建一个非常准确的历史记录，每个单独的以太空节点随着时间的推移而移动。”

此外，light客户端如何工作的关键是软件通过连接到与用户关联的地址来最小化活动的方式。但是，虽然这种方法减少了带宽、延迟和流量，但影响是IP和地址关系在网络上呈现。

Szilágyi说：“轻型服务器将能够统计地确定该特定IP地址对一个特定地址感兴趣。”

与探索协议类似，可以轻松访问此信息。不幸的是，通过Tor连接实际上会损害轻客户端的可靠性。

Szilágyi说：“现在我们没有移动IP的世界地图，现在我们有一个移动客户端以太坊地址的世界地图。”

他补充说：

“类似于以太坊发现协议，这又一次可以由所有人公开进行。”

最佳实践

不幸的是，根据Szilágyi的说法，对于许多这些问题并没有简单的解决办法，因为有些问题是轻客户和探险家的功能所固有的。

但是，在周五与观众交流时，开发人员提出了与以太坊用户和开发人员共享的精确建议。

具体来说，Szilágyi打破了三种传统的方式，可以在短期内更好地隐藏这些信息。

首先，他认为用户应该运行完整的节点。虽然硬件密集程度更高，但完整节点意味着您可以在本地存储所有数据，并且无需与其他任何人交互即可访问该数据。此外，由于完整节点验证以太坊的基础状态是正确的，因此运行完整节点也具有安全优势。

Szilágyi说：“尽管人们不喜欢完整的节点，但完整的节点实际上是以太坊生态系统中最好的匿名者。”

其次，Szilágyi认为，开发人员应该关注通过匿名化网络层（如Tor浏览器和I2P）所做的工作，研究如何更好地隐藏网络级别的元数据泄漏。

他说：“对以太坊的隐私是坏的，真的，非常糟糕。但这并不意味着要解决这个问题是不可能完成的，已经有20年的研究如何正确地做到这一点，所以让我们至少尝试从他们的结果中学习并尝试解决它。”

最后，Szilágy敦促开发人员在与以太坊交流时不要责怪用户的不良隐私做法。他还指出，许多用户可能不知道首先存在像Tor浏览器这样的选项。

因此，Szilágy表示：“作为dapp和平台开发人员，我们应该把它弄清楚并解决它。”

考虑到这一点，Szilágy以谨慎的态度告终。以Facebook为例，开发人员表示，当隐私执行特征在一开始就没有嵌入时，这种方法可能会在未来产生影响。

Szilágy说：“我不认为Facebook是为了收集用户数据而创建的，它不是为了滥用选举权而创建的，这种情况正在发生。”

他总结道：

“我们不想修复它以保护用户免受外部攻击。我认为我们也希望重点保护用户免受自身攻击也非常重要。”

【声明：文章为作者独立观点，非投资，交易或赌博建议，不代表NABF官方立场。欢迎转载，转载请务必注明来源。如有不当之处请多多指教！】