As formas pouco conhecidas como o Ethereum revela dados de localização do usuário

"As pessoas T percebem quanta informação está disponível."

Este é Peter Szilagyi, um desenvolvedor CORE do Ethereum que gerencia o cliente de software Geth, referindo-se ao fato de que pouca atenção tem sido dada à camada de rede subjacente do blockchain, onde as informações às vezes são expostas de maneiras complexas e imprevisíveis.

Na verdade, existe uma consciência das implicações de tal exposição, o que deu origem a umaaceleração contínua em pesquisas sobre como ocultar melhor os dados do usuário no nível do aplicativo, que fica no topo do blockchain Ethereum , um sistema transparente que publica dados de contratos inteligentes e transações.

Em uma entrevista, Szilagyi descreveu os componentes ponto a ponto que sustentam o segundo maior blockchain do mundo em capitalização de mercado como uma "coisa de magia negra".

Esse estado de coisas foi destacado durante sua palestra na conferência anual de desenvolvedores, Devcon4, em Praga na semana passada. Szilágyi detalhou uma série de preocupações que poderiam fazer com que metadados do usuário vazassem ao longo do tempo – e, no pior cenário, fornecer a base para um mapa global preciso de localizações de usuários de Ethereum .

Durante a palestra da última sexta-feira, Szilagyi se concentrou em duas maneiras pelas quais isso poderia acontecer, com foco em sites como o popular explorador de blockchain, Etherscan, e "clientes leves", como aplicativos móveis ou baseados em navegador.

"Quando as pessoas estão deixando de usar nós completos, elas estão abrindo mão de certas garantias e eu só quero destacar quais problemas potenciais podem surgir", disse Szilagyi ao CoinDesk.

Szilagyi começou a encontrar os problemas após sua busca por um projeto paralelo: uma alternativa ao Facebook que é descentralizada e privada por padrão. Como resultado da pesquisa, Szilagyi disse que vazamentos de metadados dificultam a interação anônima com outras pessoas.

"T temos isso no Ethereum", explicou Szilagyi. "A razão pela qual esses vazamentos começaram a me incomodar é por causa daquele projeto."

Falando na sexta-feira, Szilágyi disse que muitos dos problemas estão tão profundamente arraigados que é difícil lidar com eles sem correr o risco de quebrar aplicativos que rodam em cima do Ethereum. Ainda assim, o desenvolvedor detalhou métodos que poderiam aliviar o risco para os usuários.

"A maioria das pessoas em blockchain e Ethereum quer construir em cima, enquanto há uma equipe na base fazendo o trabalho sujo", disse ele ao CoinDesk, acrescentando:

"Não é que sejam problemas insolúveis, mas alguém precisa entender que eles existem."

'Rastreadores estranhos'

Durante sua palestra na Devcon, Szilágyi detalhou as várias maneiras pelas quais informações sensíveis do usuário podem ser expostas ao interagir com o Ethereum. Tomando o exemplo do Etherscan, Szilagyi disse que uma combinação específica é revelada ao site quando os usuários o acessam – ou seja, um LINK entre o endereço IP de um usuário e seu endereço Ethereum .

E isso é notável porque, como um número de identificação exclusivo do computador, um endereço IP revela dados de localização do usuário.

Essas informações são então compartilhadas com o Google Analytics e o Etherscan. Além disso, a ferramenta de comentários subjacente do Etherscan – um popular complemento de comentários de sites chamado Disqus – também recebe essas informações e compartilha essa atividade com seus parceiros.

"O Disqus na verdade revela o mapeamento de endereços IP para Ethereum para Facebook, Twitter e Google Plus", disse Szilagyi.

O Disqus tem 11 integrações desse tipo no total, como YouTube, Vimeo e outros serviços, que também recebem essas informações. A ferramenta também contém outros "rastreadores estranhos", explicou Szilágyi, incluindo plataformas de inteligência artificial e mercados de dados.

E isso é notável porque T afeta apenas o Etherscan, mas qualquer aplicativo descentralizado (dapp) que use as mesmas ferramentas.

"Isso é um problema porque você está essencialmente associando seu mapeamento de endereço IP ao Ethereum e está revelando isso para vários serviços", continuou Szilagyi.

A Etherscan tomou medidas para remover esses recursos, disse Szilagyi. Atualmente, ela usa o Google Analytics, mas a equipe por trás dele está procurando remover esse aspecto do site. Depois de depender de uma empresa de anúncios externa, a Etherscan está tomando medidas para internalizar a rede de anúncios também.

Mas outros dapps afetados podem não ser tão proativos quanto o Etherscan em lidar com os vazamentos, de acordo com Szilagyi.

Como ele explicou:

"Fazemos com que o Etherscan conserte, mas podemos fazer com que o dapp aleatório número 2.000 conserte? Provavelmente não. Então, os usuários precisam se proteger também."

As mesmas informações – endereço IP para ethereum – são compartilhadas quando os usuários acessam outros serviços também, continuou Szilágyi, como Infura, MetaMask e MyCryptoWallet.

Protocolo de Confira

Szilagyi ofereceu outras soluções para esse dilema, incluindo o uso da rede Tor para ocultar endereços IP e o navegador Brave para bloquear rastreadores online.

Mas há outras maneiras mais sutis pelas quais o acesso ao Ethereum pode expor informações sensíveis também, de acordo com o desenvolvedor. Tomando o exemplo de clientes leves – a maneira simplificada e de baixo armazenamento para usuários do Ethereum acessarem a rede – Szilagyi disse que há dois tipos de atividade na rede que são altamente rastreáveis.

O primeiro é o que é conhecido como "protocolo de Confira ".

Quando os clientes light se conectam à rede Ethereum , o IP também é revelado. Como os clientes light estão continuamente se reconectando ao longo do tempo, o protocolo de Confira revela um mapa preciso da localização do usuário.

"Toda vez que me conecto à rede, estou, na verdade, revelando à rede que esta máquina que estava em Berlim na semana passada, estava em Praga esta semana", disse Szilagyi.

Esses dados de localização são públicos, então, em teoria, qualquer um pode escanear a rede para construir um mapa global altamente preciso das localizações dos usuários de Ethereum .

"Se você estiver disposto a fazer isso, por exemplo, todos os dias, apenas tentar escanear a rede todos os dias, então você pode criar um histórico extremamente preciso de onde cada nó Ethereum individual estava se movendo ao longo do tempo", disse Szilagyi.

Além disso, a chave para como os clientes leves funcionam é a maneira como o software minimiza a atividade conectando-se a endereços que são associados a um usuário. Mas enquanto essa abordagem reduz a largura de banda, latência e tráfego, o impacto é que os relacionamentos de IP e endereço são tornados explícitos na rede.

"Servidores leves poderão mapear estatisticamente que esse endereço IP específico está interessado em um endereço específico", disse Szilagyi.

Similarmente ao protocolo de Confira , essas informações podem ser facilmente acessadas. E, infelizmente, conectar-se pelo Tor irá, na verdade, danificar a confiabilidade do cliente light.

"Agora T temos um mapa-múndi de IPs em movimento, agora temos um mapa-múndi de endereços de Ethereum em movimento", disse Szilagyi, acrescentando:

"E, novamente, semelhante ao protocolo de Confira do Ethereum , isso pode ser feito publicamente por qualquer pessoa."

Melhor prática

Infelizmente, de acordo com Szilagyi, não há uma solução simples para muitos desses problemas, pois alguns são inerentes a como os clientes leves e exploradores funcionam. Mas, falando com o público na sexta-feira, o desenvolvedor tinha recomendações precisas para compartilhar com os usuários e desenvolvedores do Ethereum daqui para frente.

Especificamente, Szilagyi detalhou três maneiras pelas quais essas informações podem ser melhor ocultadas no curto prazo.

Primeiro, ele argumentou que os usuários deveriam executar full nodes. Embora mais intensivos em hardware, full nodes significam que você pode armazenar todos os dados localmente e pode acessá-los sem interagir com mais ninguém. Além disso, como full nodes verificam se o estado subjacente do ethereum está correto, executar um full node também traz benefícios de segurança.

"Embora as pessoas T gostem de nós completos, eles são, na verdade, os melhores anonimizadores no ecossistema Ethereum ", disse Szilagyi.

Em segundo lugar, Szilagyi argumentou que os desenvolvedores deveriam analisar o trabalho que foi feito ao tornar anônimas as camadas de rede, como o navegador Tor e o I2P, para pesquisar como ocultar melhor os vazamentos de metadados no nível da rede.

"A Política de Privacidade no Ethereum é ruim, muito, muito ruim. Mas isso T significa que seja uma tarefa impossível de resolver", disse ele. "Foram 20 anos de pesquisa sobre como fazer isso corretamente, então vamos pelo menos tentar Aprenda com os resultados e tentar consertar isso."

Por fim, Szilagy pediu aos desenvolvedores que não culpassem os usuários por más práticas de Política de Privacidade ao interagir com o Ethereum. Ele também observou que muitos usuários podem não estar cientes de que opções como o navegador Tor existem em primeiro lugar.

Por isso, Szilagy disse: "Cabe a nós, como desenvolvedores de dapp e plataforma, descobrir e consertar."

Com isso em mente, Szilagy encerrou com uma nota de cautela. Apontando para o Facebook como exemplo, o desenvolvedor disse que quando características de reforço de privacidade T são incorporadas no início, tal abordagem pode ter repercussões no futuro.

"T acho que o Facebook foi criado para coletar dados de usuários, T foi criado para abusar de eleições, isso simplesmente aconteceu", disse Szilagy, concluindo:

"T queremos consertar isso para proteger os usuários não apenas de ataques externos. Acho que é muito importante destacar também que queremos proteger os usuários de nós mesmos."

Imagem Devcon via arquivos CoinDesk