宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > BNB > 正文

ERC-721 隐私泄露问题凸显 三种方案或能缓解

作者:

时间:1900/1/1 0:00:00

撰文:隔夜的粥

当前,NFT 市场主要使用了三种 token 标准,它们分别是 ERC-721、ERC-1155 以及 ERC-998,而占据整个市场主导地位的依旧是 ERC-721 token 标准,例如无聊猿(BAYC)、加密朋克(CryptoPunks)、ENS 等众多第一梯队的 NFT 项目均采用了该 token 标准。

然而,随着链上分析工具的发展,采用 ERC-721 标准的 NFT 面临的隐私泄露问题变得越来越严峻。

为了说明问题的严重性,本文先通过一个例子来进行说明。

使用 ERC-721 代币标准发行的资产都具有独一无二的特点,这无疑是推动 NFT 资产炒作的一个重要属性,然而当前以太坊等公链还具有了账本公开透明的特点,意味着用户可使用区块链浏览器等工具,通过 ERC-721 代币查询自己或他人的钱包信息。

Poloniex已禁用ETH、ERC20、TRX、TRC10和TRC20钱包:9月3日晚间,Poloniex交易所官方发推宣布,交易所遭遇存款延迟,尤其是在ETH链上。用户若受影响需通知官方团队。随后,Poloniex再发推称,当前已禁用了所有ETH、ERC20、TRX、TRC10和TRC20钱包以进行系统维护。[2020/9/3]

最容易暴露隐私的 ERC-721 token,自然就是 ENS,其在为用户提供便利的同时,造成了非常严重的隐私泄露,例如近期的「知名 ENS 地址遭投」事件,仅仅是 ENS 隐私泄露问题的冰山一角。

除了 ENS ,头像类的 ERC-721 token 也会带来严重的隐私泄露问题。

举例来说,近日,用户名为 KinkyBedBugs 的 Twitter 用户花费了 400 ETH 购买了一只胖企鹅(Pudgy Penguins)NFT,并将其用作自己的 Twitter 头像。

动态 | 今日ERC20数据分析 HT活跃地址数不及一期表现 ?:据TokenGazer数据分析显示,过去24小时里ERC20代币中活跃地址数排名前五的代币是:USDC、HT、BNB、DAI、NPXS。其中,HT活跃地址数排名第二,但前三名之间的数据差距较小。

4月16日Huobi Prime二期上币项目为NEW,受益于IEO的财富效应以及往期的上币表现,HT的活跃地址数有一定明显提升,但是相较于3月26日TOP上线Huobi Prime时的HT活跃地址数而言,此次项目的活跃地址数出现了大幅缩水状况的可能原因如下:1、由于火币修改了具体抢购规则,规定了投资人的资质,导致此次参与人数偏少;2、市场对于NEW的心理预期不强,看好NEW的人群偏少,3、IEO的热度存在一定下降。[2019/4/18]

动态 | Poloniex将在分叉前1小时暂停ETH、USDC和ERC-20钱包的存取款业务:1月15日,Poloniex官方推特表示,将在以太坊君士坦丁堡分叉前大约一个小时暂停ETH、USDC和所有其他ERC-20钱包的存取款业务,并在分叉完成后立即重新启用。会在硬分叉当天宣布具体的暂停时间。[2019/1/15]

通过查询 opensea 的数据记录(或特征),我们可得知购买该 NFT 的钱包地址就是 saudietheran.eth(0 x304A97c9A85C92C93Ca24e0A85B69f892B67355E),在该网站上,我们可以看到该钱包地址持有的所有 NFT。

而通过链上数据查询工具,我们甚至可以追踪到该钱包的关联地址及持仓情况。

多个ERC20币种存重大安全隐患 “攻击者”可操纵币价套利:区块链安全公司PeckShield向包括火币,币安以及OKex等在内的多个主流交易所发出安全警报:调研发现,多个已经在主流交易所上线的ERC20币种的智能合约代码存在严重安全隐患,“攻击者”可通过公开的接口直接割韭菜套利。据PeckShield研究人员透露,截至目前已发现十余种Token在多个主流交易所上线,影响了包括币安,火币以及OKex在内的主流交易所10余家。据统计,存在该隐患的最大币种市值已达1.5亿美金,全部币种共影响波及数十万投资者。一旦该安全隐患被利用,攻击者仅用技术手段就可实施割韭菜行为,将会给相关Token持有者带来重大损失。[2018/6/9]

图片来自 watchers

分布式资本宣布正式战略投资区块链创新企业Merculet:分布式资本(FenbushiCapital)宣布正式战略投资区块链创新企业Merculet。基于此次投资和对Merculet的认可,分布式资本管理合伙人沈波也将因此担任项目战略顾问。作为Merculet战略投资者,沈波表示:“分布式商业是未来的大势所趋,它将带动全球企业拥抱新一轮增长红利。我们投资Merculet正是因为我们看到了他们有别于一般的区块链项目,Merculet是以扎实的区块链技术搭建分布式商业的基石,根据我们对未来分布式商业社会的判断,我们认为Merculet项目将会为生态圈的迭代升级带来全新的改变。”[2018/4/14]

在这个例子当中,由于 KinkyBedBugs 是一个匿名账户,并且其显然做好了 NFT 钱包与主钱包地址的分离,因此,以上的信息泄露可能都是 KinkyBedBugs 故意而为之的(主动将信息透露给公众,以实现某种目的)。

但如果通过 NFT 关联到了持有者的真实身份,并且其没有做好钱包联系分离,一旦被怀有恶意的对手方(例如黑客、投者、敲诈者等)利用,NFT 持有者就可能面临非常危险的攻击。

在了解了 ERC-721 NFT 带来的隐私泄露问题的严重性后,我们需要了解一些缓解措施。

正如在本文当中提到的例子,我们在使用 ENS token 时,应尽量避免将自己的真实身份与钱包地址联系在一起,例如真实姓名拼音或常用英文名可能都是糟糕的选择,而采用一些较通用的词,例如 DeFi、NFT、DAO、DEX 等,可以增加一些隐私性。

接下来,钱包隔离工作将是至关重要的,一般来说,我们都会有多个以太坊钱包地址,其中会有 1-2 个存放资金的主地址,而其余存放小额资金的钱包地址会用于日常的交易或协议交互。

而我们要做的,就是切断主钱包地址和日常交易地址之间的任何联系,这意味着这些钱包之间不能有任何相互转账的操作。(注:如果实在有转账的需求,可以通过中心化交易所作为中间的桥梁)

做好钱包隔离工作之后,我们将主钱包用于存钱用途,而将日常用的钱包用于存放价值较低的 ENS 或 NFT 小图片。

近期,以太坊研究人员 Anton Wahrst?tter(@Nerolation)在 ethresear.ch 发表了一项 ERC721 扩展提案?,其提议将 zk-SNARK 技术应用到 ERC-721,以保护相关 NFT 持有者的隐私。

对此,以太坊联合创始人 Vitalik 评论称,使用常规隐身地址?(stealth address) 技术可以更简单地实现,不需要 Merkle 树或 ZK-SNARK 级别隐私的原因在于,每个 ERC721 都是独一无二的,因此不可能为 ERC721 创建「匿名集」。相反,用户只是想隐藏指向发送者和接受者的高度可见的公共身份链接(因此,你可以将一个 ERC721 token 发送给 vitalik.eth,此时 Vitalik 本人可以看到这一点,但其他人都不能看到 vitalik.eth 这个地址收到了一个 ERC721 token,他们只能看到某人收到了一个 ERC721 token)。

那这种技术方案的原理是怎样的呢?Vitalik 解释称:

这一想法也获得了 Anton Wahrst?tter 的认可,其目前正在根据 vitalik 的建议撰写一份 EIP?,计划将提议的 generateStealthAddress (bytes32 key) 应用到智能合约钱包当中。

然而,正如 Bain Capital Crypto 研究合伙人 Wei Dai 指出的那样?,隐身地址(stealth address)方案的缺点在于,如果它应用于 ERC-721 以外的任何 token(例如 ERC-20 或 ERC-1155 ),由于可以追踪传输链,其可添加的隐私性是非常有限的。相比之下,基于 zk-SNARK 零知识证明的方法可以完全保持机密性或匿名性。

在他看来,理想情况下,L1 应支持可由智能合约应用使用的隐私保护 token,这可以通过已知技术实现,实际上,用户可以充分利用 Aztec 等以隐私为中心的 L2,并在 L1 上默认设置隐私保护 token 记账,他进一步解释称:

而摆在用户面前的另一个问题是,采用零知识证明隐私解决方案,可能会遇到监管上的一些麻烦,例如 FTX 交易所就屏蔽了一些 Aztec 用户地址,并发出了相关警告。

可见,更好的隐私性,也不一定是一件好事。

作为一名普通的以太坊用户,就目前来说,我们首先应做好身份隔离和钱包隔离工作,以避免严重的隐私泄露问题,而在不久的将来,内置隐身地址(stealth address)方案的智能合约钱包,可能会得到更多的采用。

而隐私性更好的零知识证明方案,由于监管方面的担忧,或许会遇到一些阻力,这还需要我们更多的观察。

DeFi之道

个人专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

标签:TOKEKENTOKTOKENBusinessmanTokenPiSwap Tokenimtoken币被盗找回案例bimintoken

BNB热门资讯
金色早报 | 俄罗斯将在跨境支付中推广使用数字卢布

头条 ▌俄罗斯将在跨境支付中推广使用数字卢布9月8日消息,俄罗斯联邦中央银行行长Elvira Nabiullina周四宣布,俄罗斯央行将积极推动使用数字卢布进行跨境结算的可能性。许多俄罗斯银行希望参与并正在积极参与引入数字卢布的实验.

1900/1/1 0:00:00
卡Bug自己给自己「开工资」?Daoswap攻击事件分析

北京时间2022年9月5日,CertiK审计团队监测到Daoswap由于挖矿奖励大于交换过程中收取的费用以及缺乏验证,允许用户将邀请者地址设置为自己,在一次攻击中损失了58万USDT.

1900/1/1 0:00:00
项目周刊 | 以太坊基金会确认9月6日为以太坊合并日期

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.

1900/1/1 0:00:00
「深度研究 」加密游戏:最实用的论文

原文作者:Arad 编译:BTX CapitalLars 非常坚持认为加密不会为游戏添加任何根本性的新东西——无论你可以用加密做什么,你都感觉到其实什么都没做。他们相信游戏加密,但很难解释它究竟提供了什么.

1900/1/1 0:00:00
合规还是去中心化?看加密法律从业人员激辩 Web3 监管

原文标题:《加密法律专家激辩 WEB3 监管:要合规还是去中心化?》嘉宾:高素质蓝领,Fenbushi Capital 总法律顾问;边界的 LilyKing,Cobo COO,中美律师.

1900/1/1 0:00:00
北京元宇宙“落户”通州 三年规划如何解读?

8月23日悄然之间,北京市通州区人民政府、北京市科学技术委员会、中关村科技园区管理委员会、北京市经济和信息化局发布了《北京城市副中心元宇宙创新发展行动计划(2022-2024年)》的通知.

1900/1/1 0:00:00