La privacidad de MetaMask es peor de lo que parece

La última actualización de la herramienta Infura API de ConsenSys ha causado un gran revuelo en la comunidad de Ethereum. Como se anunció ayer, Infura comenzará a recopilar y asignar direcciones IP y Ethereum de los usuarios de MetaMask con efecto inmediato.

ConsenSys informó de esto el 23 de noviembre. Sin embargo, en una publicación de blog, la compañía minimizó los cambios.

Dijo que solo se proporcionó "claridad sobre qué información recopila Infura cuando los usuarios usan Infura como el proveedor de RPC predeterminado en MetaMask".

"Las actualizaciones de la política no dan como resultado una recopilación o procesamiento de datos más intrusivo, y no se realizaron en respuesta a cambios regulatorios o consultas.

Nuestra política siempre ha establecido que cierta información se recopila automáticamente sobre cómo los usuarios usan nuestros sitios, y esa información puede incluir direcciones IP”, dijo ConsenSys.

Al mismo tiempo, ConsenSys señaló que cuando los usuarios interactúan con Ethereum a través de Infura, por ejemplo, al enviar una transacción o solicitar el saldo de una cuenta, el proveedor recibe tanto la dirección IP como la dirección de la billetera del 'usuario'.

"Esto no es específico de Infura", afirmó ConsenSys y continuó diciendo que continúa "investigando soluciones técnicas para minimizar esta exposición, incluidas las técnicas de anonimización".

Sin embargo, cuando los usuarios usan su propio nodo Ethereum o un proveedor de RPC externo con MetaMask, ConsenSys afirma que "ni Infura ni MetaMask capturarán su dirección IP o dirección de billetera de Ethereum".

¿La actualización de privacidad es aún peor para los clientes de Ethereum y MetaMask?

Sorprendentemente, Infura es vital para la cadena de bloques de Ethereum. La herramienta es utilizada por muchos otros proyectos notables de Web3, como Polygon, Filecoin, Aragon, Gnosis y OpenZeppelin.

Adam Cochran, socio de Cinneamhain Ventures, comentó que "las cosas de MetaMask son peores de lo que parece".

No solo recopila datos cuando envía un tx: en el momento en que desbloquea la billetera, guarda TODAS sus direcciones bajo la misma dirección IP.

Esta base de datos crea un GRAN riesgo de doxing en el espacio. Es hora de abandonar MM.

Cochran se refiere a un tweet de Micha Zoltu, quien presentó un informe de error a través de GitHub. Según Zoltu, Infura captura más de lo que admite ConsenSys. La herramienta recopila la dirección IP, así como todas las cuentas y direcciones tan pronto como el usuario desbloquea la cuenta.

"Esto también es cierto para otras cadenas, ya que un usuario que se conecta a una red de prueba o L2 a través de MM también enviará al proveedor de RPC de esa cadena todas sus cuentas en lugar de solo la cuenta seleccionada", escribió Zoltu en GitHub. .

El analista de Bitcoin Dylan LeClair comentó a través de Twitter solo "Probablemente nada" y "Advertencia", señalando que Infura ya había tomado una controvertida decisión contra la privacidad en septiembre al bloquear el acceso a Tornado Cash.

LeClair también señaló el hecho de que JPMorgan recibió una participación significativa en la lucrativa propiedad intelectual (PI) de ConsenSys, específicamente MetaMask e Infura, como reveló una demanda contra ConsenSys este año.

En ese momento, un grupo de accionistas de ConsenSys pidió una investigación sobre un acuerdo en el que JPMorgan adquirió una participación significativa en la infraestructura Ethereum Infura y MetaMask. Resultó que JP Morgan recibió una participación del 10%. El acuerdo se conoció como "Proyecto North Star".

En el momento de la publicación, Ethereum (ETH) cotizaba a $1183, recuperándose del soporte de $1171.

Precio de Ethereum, gráfico de 1 hora. Fuente: Vista comercial