För några dagar sedan uppdaterade ConsenSys sin Sekretesspolicy, där det finns ett stycke dedikerat till MetaMask-plånboken och policyn för inloggning.
MetaMask-plånboken och den nya policyn för inloggning
MetaMask är överlägset en av de mest använda plånböckerna för Ethereum i världen, med mer än 21 miljoner aktiva användare varje månad, delvis för att den fungerar med en webbläsartillägg som gör att kryptoplånboken enkelt och snabbt kan länkas till många webbplatser.
ConsenSys Software Inc. är just företaget som producerar och släpper denna plånbok, så dess uttalanden om den är officiella.
MetaMask tillåter användare att lagra och hantera sina privata nycklar, så det är en plånbok utan förvaring. Det används uppenbarligen för att ta emot och skicka kryptovalutor och Ethereum-baserade tokens, med det speciella att det enkelt kan kopplas till olika decentraliserade webbplatser och applikationer.
På så sätt gör det inte bara möjligt att utföra transaktioner på ett mycket enkelt sätt, utan låter även webbplatserna och dApparna själva autentisera användaren på de smarta kontrakten, om än anonymt.
En av kritiken som alltid har riktats mot denna lösning ligger just i hanteringen av användardata.
Även om den icke-förvarande plånboken i teorin bör lämna användaren i full och exklusiv kontroll över sina data, vilket säkerställer en god integritetsnivå, skulle den i verkligheten potentiellt kunna samla in och dela information med tredje part som kan göra användarna identifierbara.
Registrering av IP:er vid inloggning med MetaMask-plånbok
Att logga användarens IP ökar därför bara kritiken i detta avseende.
Paragrafen i ConsenSys nya integritetspolicy säger att när Infura används som standard RPC-leverantör i MetaMask kommer Infura att samla in användarnas IP-adresser och Ethereum-plånboksadresser när de skickar en transaktion.
De som inte vill att denna data samlas in erbjuds möjligheten att använda en tredje parts RPC-leverantör, eller sin egen Ethereum-nod. ConsenSys varnar dock för att andra RPC-leverantörer också samlar in denna information.
Det är värt att notera att Infura RPC-leverantören är utvecklad av ConsenSys själv och är standardleverantören i MetaMask.
Så som standard kommer ConsenSys att samla in IP-adresserna för MetaMask-användare när de utför en transaktion, och erbjuder som ett alternativ endast det uttryckliga valet av en annan RPC-leverantör men utan att ange vilka som inte samlar in användar-IP:er.
Annan information insamlad
Den nya sidan för ConsenSys sekretesspolicy listar också annan information som samlas in, även om denna listas i andra stycken än den som är tillägnad MetaMask.
En del av denna information efterfrågas direkt och uttryckligen av användaren, vilket kan inkludera för- och efternamn, födelsedatum, postadress, e-postadress, telefonnummer och så vidare.
Andra samlas dock in som standard när du använder andra ConsenSys-tjänster, som till exempel Codefi samlar också in ditt land och födelseort, nationalitet, personnummer, arbetsgivare, yrke, ID och annan information som är nödvändig för att följa anti-pengar lagar om tvättning (AML) och KYC-krav.
ConsenSys på denna sida gör dock all denna information offentlig och öppen, så att användarna kan vara väl informerade om vilken data de lämnar över till företaget.
ConsenSys är för alla ändamål ett privat företag, grundat 2014 av Joseph Lubin, baserat i New York City. Det har mer än 500 anställda, och inga uppgifter om aktieägarnas ägande eller intäkter är offentligt tillgängliga.
Infuria
Plånböcker som MetaMask innehåller inte en Ethereum nod inuti dem. Så de måste ansluta till externa noder för att fungera.
Som standard är RPC-leverantören (Remote Procedure Call) de använder Infura, som hanterar blockkedjenoder istället. När någon gör en transaktion på MetaMask ansluter den till Infura, som överför transaktionen till Ethereum blockchain. Anslutningen görs genom "Remote Procedure Call", som skickar Infura all data så att den kan överföra transaktionen till Ethereum-nätverket.
När du installerar MetaMask är den förinställda RPC-leverantören just Infura, så om användaren inte ändrar den kommer deras IP att registreras när de skickar en transaktion.
Men andra RPC-leverantörer finns också tillgängliga som användare kan ansluta MetaMask till för att inte använda Infura. Försiktighet måste dock iakttas eftersom det inte är säkert att andra RPC-leverantörer faktiskt är bättre.
Riskerna
Den största risken vid det här laget är att ens transaktioner i kedjan kommer att kännas igen.
All on-chain transaktionsdata på Ethereum är offentlig och i vanlig text, inklusive avsändarens plånboksadress. Det är dock anonym data, från vilken det borde vara mycket svårt att spåra plånboksägarens identitet.
IP-inspelning i kedjan minskar denna svårighet, vilket gör det något lättare att så småningom identifiera ägaren.
Sanningen att säga har ConsenSys en hel del data för att identifiera användare, även om med den enkla användningen av MetaMask kan denna identifiering fortfarande vara svår. Men om andra verktyg, som Codefi, också används, blir identifieringen mycket enklare.
Icke desto mindre offentliggörs inte informationen som samlas in av ConsenSys om dess användare, och endast vissa anonyma uppgifter registreras på blockkedjan.
Slutligen bör det tilläggas att i verkligheten använder många användare som vill upprätthålla en hög anonymitet redan verktyg för att dölja eller ändra sin IP, såsom så kallade VPN:er, så även i det fall då RPC-leverantören registrerar dessa uppgifter, det är nästan omöjligt att använda det för att identifiera ägaren till plånboken.
Källa: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/