Малоизвестные способы, которыми Ethereum раскрывает данные о местоположении пользователей

«Люди T осознают, сколько информации находится в открытом доступе».

Это Питер Силаги, разработчик CORE Ethereum , который управляет программным клиентом Geth, имея в виду тот факт, что мало внимания уделяется базовому сетевому слою блокчейна, где информация иногда раскрывается сложными и непредсказуемыми способами.

Действительно, существует понимание последствий такого воздействия, и это привело к возникновениюпродолжающееся ускорение в исследовании того, как лучше скрыть пользовательские данные на уровне приложения, которое находится поверх блокчейна Ethereum , прозрачной системы, публикующей данные смарт-контрактов и транзакций.

В интервью Силади описал одноранговые компоненты, лежащие в основе второго по величине в мире блокчейна по рыночной капитализации, как «черную магию».

Такое положение дел было подчеркнуто во время его выступления на ежегодной конференции разработчиков Devcon4 в Праге на прошлой неделе. Силади подробно описал ряд проблем, которые могут привести к утечке метаданных пользователей с течением времени — и в худшем случае предоставить основу для точной глобальной карты местоположений пользователей Ethereum .

В своем выступлении в прошлую пятницу Силади сосредоточился на двух способах, которыми это может произойти, уделив особое внимание таким веб-сайтам, как популярный обозреватель блокчейнов Etherscan, и «легким клиентам», таким как мобильные или браузерные приложения.

«Когда люди отказываются от полных узлов, они отказываются от определенных гарантий, и я просто хочу подчеркнуть, какие потенциальные проблемы могут возникнуть», — сказал Силади в интервью CoinDesk.

Сцилаги начал сталкиваться с проблемами после того, как занялся сторонним проектом: альтернативой Facebook, которая была бы децентрализованной и приватной по умолчанию. В результате исследования Сцилаги заявил, что утечки метаданных затрудняют анонимное взаимодействие с другими.

«У нас в Ethereum этого T », — объяснил Силаги. «Причина, по которой эти утечки начали меня беспокоить, — это этот проект».

Выступая в пятницу, Силади сказал, что многие проблемы настолько глубоко укоренились, что их трудно решить, не рискуя сломать приложения, работающие на базе Ethereum. Тем не менее, разработчик подробно описал методы, которые могут снизить риск для пользователей.

«Большинство людей, работающих в блокчейне и Ethereum , хотят строить наверху, в то время как внизу есть команда, которая делает грязную работу», — сказал он CoinDesk, добавив:

«Дело не в том, что это неразрешимые проблемы, но кто-то должен понимать, что они существуют».

«Странные следопыты»

В своем выступлении на Devcon Силади разобрал различные способы, с помощью которых конфиденциальная информация пользователя может быть раскрыта при взаимодействии с Ethereum. Взяв пример с Etherscan, Силади сказал, что при доступе пользователей к веб-сайту раскрывается определенная комбинация, а именно, LINK между IP-адресом пользователя и его адресом Ethereum .

И это примечательно, поскольку IP-адрес, являясь уникальным идентификационным номером компьютера, раскрывает данные о местоположении пользователя.

Затем эта информация передается в Google Analytics и Etherscan. Кроме того, базовый инструмент комментариев Etherscan — популярный плагин для комментариев на веб-сайтах под названием Disqus — также получает эту информацию и далее делится этой активностью со своими партнерами.

«Disqus фактически раскрывает сопоставление IP-адресов с адресами Ethereum в Facebook, Twitter и Google Plus», — сказал Силади.

Disqus имеет в общей сложности 11 таких интеграций, таких как YouTube, Vimeo и другие сервисы, которые также получают эту информацию. Инструмент также содержит другие «странные трекеры», объяснил Силади, включая платформы искусственного интеллекта и рынки данных.

И это примечательно, поскольку это влияет T только на Etherscan, но и на любое децентрализованное приложение (dapp), использующее те же инструменты.

«Это проблема, поскольку вы по сути связываете свой IP-адрес с адресом Ethereum и раскрываете это множеству сервисов», — продолжил Силади.

Etherscan принял меры по удалению этих функций, сказал Силаги. В настоящее время он использует Google Analytics, но команда, стоящая за ним, стремится удалить этот аспект с веб-сайта. Когда-то полагаясь на внешнюю рекламную компанию, Etherscan также предпринимает шаги по интернализации рекламной сети.

Однако, по словам Силади, другие затронутые dapps могут быть не столь активны в устранении утечек, как Etherscan.

Как он объяснил:

«Мы используем Etherscan для исправления этой проблемы, но можем ли мы получить случайное dapp-приложение номер 2000 для ее исправления? Вероятно, нет. Поэтому пользователям тоже нужно защищать себя».

Силади продолжил, что та же информация — IP-адрес Ethereum — передается пользователям и при доступе к другим сервисам, таким как Infura, MetaMask и MyCryptoWallet.

Протокол Истории

Силади предложил несколько других путей решения этой дилеммы, включая использование сети Tor для сокрытия IP-адресов и браузера Brave для блокировки онлайн-трекеров.

Но, по словам разработчика, есть и другие, более тонкие способы, с помощью которых доступ к Ethereum может раскрыть конфиденциальную информацию. Взяв пример легких клиентов — упрощенный способ доступа пользователей Ethereum к сети с небольшим объемом памяти — Силаги сказал, что в сети есть два вида активности, которые легко отследить.

Первый — это так называемый «протокол Истории ».

Когда легкие клиенты подключаются к сети Ethereum , IP также раскрывается. Поскольку легкие клиенты постоянно переподключаются с течением времени, протокол Истории раскрывает точную карту местоположения пользователя.

«Каждый раз, когда я подключаюсь к сети, я фактически сообщаю ей, что эта машина, которая на прошлой неделе была в Берлине, на этой неделе была в Праге», — сказал Силади.

Эти данные о местоположении являются общедоступными, поэтому теоретически любой желающий может просканировать сеть и создать высокоточную глобальную карту местоположений пользователей Ethereum .

«Если вы готовы делать это, например, каждый день, просто попробуйте сканировать сеть каждый день, то на самом деле вы сможете создать чрезвычайно точную историю того, куда перемещался каждый отдельный узел Ethereum с течением времени», — сказал Силади.

Кроме того, ключом к работе легких клиентов является способ, которым программное обеспечение минимизирует активность, подключаясь к адресам, связанным с пользователем. Но хотя этот подход снижает пропускную способность, задержку и трафик, его воздействие заключается в том, что связи IP и адресов становятся явными в сети.

«Легкие серверы смогут статистически определить, что данный конкретный IP-адрес заинтересован в ONE конкретном адресе», — сказал Силади.

Аналогично протоколу Истории , эта информация может быть легко доступна. И, к сожалению, подключение через Tor фактически повредит надежности легкого клиента.

«Теперь у нас T карты мира с перемещающимися IP-адресами, теперь у нас есть карта мира с перемещающимися адресами Ethereum », — сказал Силади, добавив:

«И снова, подобно протоколу Истории Ethereum , это может быть сделано публично каждым».

Лучшая практика

К сожалению, по словам Силаги, для многих из этих проблем нет простого решения, поскольку некоторые из них присущи тому, как работают легкие клиенты и проводники. Но, выступая перед аудиторией в пятницу, разработчик дал точные рекомендации, которыми он хотел поделиться с пользователями и разработчиками Ethereum в будущем.

В частности, Силади разобрался в трех способах, с помощью которых эту информацию можно будет лучше скрыть в краткосрочной перспективе.

Во-первых, он утверждал, что пользователи должны запускать полные узлы. Хотя полные узлы более требовательны к оборудованию, они означают, что вы можете хранить все данные локально и получать к ним доступ, не взаимодействуя ни с кем другим. Кроме того, поскольку полные узлы проверяют правильность базового состояния Ethereum, запуск полного узла также имеет преимущества в плане безопасности.

«Хотя людям T нравятся полные узлы, на самом деле они являются лучшими анонимайзерами в экосистеме Ethereum », — сказал Силаги.

Во-вторых, Силади утверждает, что разработчикам следует обратить внимание на работу, проделанную в области анонимизации сетевых уровней, таких как браузер Tor и I2P, для исследования того, как лучше скрыть утечки метаданных на сетевом уровне.

«Политика конфиденциальности на Ethereum плоха, очень, очень плоха. Но это T значит, что это невыполнимая задача», — сказал он. «20 лет исследований были направлены на то, чтобы понять, как сделать это правильно, так что давайте хотя бы попробуем извлечь Словарь из их результатов и попытаемся это исправить».

Наконец, Силаги призвал разработчиков не обвинять пользователей в плохой практике Политика конфиденциальности при взаимодействии с Ethereum. Он также отметил, что многие пользователи могут не знать о существовании таких опций, как браузер Tor.

В связи с этим Силаги сказал: «Нам, как разработчикам dapp и платформ, предстоит разобраться и исправить эту проблему».

Имея это в виду, Силаги закончил на предостережении. Указывая на Facebook в качестве примера, разработчик сказал, что когда характеристики обеспечения конфиденциальности T встроены с самого начала, такой подход может иметь последствия в будущем.

«Я T думаю, что Facebook был создан для сбора данных пользователей, он T был создан для злоупотребления выборами, это просто произошло», — сказал Силаги, подведя итог:

«Мы T хотим исправлять это, чтобы защитить пользователей не только от внешних атак — я думаю, очень важно также подчеркнуть, что мы хотим защитить пользователей и от нас самих».

Образ Devcon из архивов CoinDesk