比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SHIB > Info

ERC-721 隱私泄露問題凸顯 三種方案或能緩解_NFT

Author:

Time:1900/1/1 0:00:00

?錢包和身份隔離、隱身地址以及零知識證明。

撰文:隔夜的粥

當前,NFT市場主要使用了三種token標準,它們分別是ERC-721、ERC-1155以及ERC-998,而占據整個市場主導地位的依舊是ERC-721token標準,例如無聊猿、加密朋克、ENS等眾多第一梯隊的NFT項目均采用了該token標準。

然而,隨著鏈上分析工具的發展,采用ERC-721標準的NFT面臨的隱私泄露問題變得越來越嚴峻。

為了說明問題的嚴重性,本文先通過一個例子來進行說明。

ERC-721NFT如何泄露隱私

使用ERC-721代幣標準發行的資產都具有獨一無二的特點,這無疑是推動NFT資產炒作的一個重要屬性,然而當前以太坊等公鏈還具有了賬本公開透明的特點,意味著用戶可使用區塊鏈瀏覽器等工具,通過ERC-721代幣查詢自己或他人的錢包信息。

Metropolitan Commercial Bank:FDIC保險不會對 Voyager Digital的破產提供保護:7月7日消息,Voyager Digital從未向FDIC保險投保,其此前的宣傳內容中承諾持有的美元由FDIC承保是由于Metropolitan Commercial Bank向FDIC投保的緣故。此外,Voyager Digital的客戶協議中也顯示,FDIC保險不保護Voyager或任何托管人的瀆職行為。Metropolitan CommercialBank則在其聲明中表示,FDIC保險僅適用于防止Metropolitan CommercialBank的失敗,并不保護Voyager的失敗、Voyager或其員工的任何作為或不作為,或加密貨幣或其他資產的價值損失。(TheBlock)[2022/7/7 1:56:37]

最容易暴露隱私的ERC-721token,自然就是ENS,其在為用戶提供便利的同時,造成了非常嚴重的隱私泄露,例如近期的「知名ENS地址遭投」事件,僅僅是ENS隱私泄露問題的冰山一角。

Commercium Financial獲得SPDI銀行執照,成為第四家懷俄明州特許加密銀行:總部位于懷俄明州夏延市的銀行Commercium Financial已被授予特殊目的存儲機構(SPDI)銀行執照,以處理數字資產。這家銀行繼Kraken、Avanti Financial和Wyoming Deposit & Transfer之后,獲得了特許經營申請的批準,但到目前為止,沒有一家申請人獲得了經營授權執照,這意味著他們還沒有開始營業。懷俄明州銀行部門在一封電子郵件中證實,Commercium Financial與PoW加密貨幣Commercium(CMM)無關。據了解,當懷俄明州特許的加密銀行開放時,它們將提供各種數字資產服務。然而,SPDI不允許放貸,每家銀行必須持有客戶存款的100%作為準備金。(CoinDesk)[2021/8/11 1:49:06]

除了ENS,頭像類的ERC-721token也會帶來嚴重的隱私泄露問題。

Boson Protocol宣布World Mobile成為dCommerce生態系統合作伙伴:據官方消息,去中心化協議Boson Protocol宣布,區塊鏈移動網絡World Mobile將成為dCommerce生態系統的合作伙伴。World Mobile和Boson Protocol將圍繞為World Mobile網絡用戶提供一個dCommerce市場展開合作,以降低電子商務中介帶來的成本和摩擦,使購買和銷售變得更加實惠、安全并對用戶有利。[2021/6/4 23:12:16]

舉例來說,近日,用戶名為KinkyBedBugs的Twitter用戶花費了400ETH購買了一只胖企鵝NFT,并將其用作自己的Twitter頭像。

通過查詢opensea的數據記錄,我們可得知購買該NFT的錢包地址就是saudietheran.eth,在該網站上,我們可以看到該錢包地址持有的所有NFT。

KuCoin (庫幣) 上線 GamerCoin ,現已開放充值:據 KuCoin (庫幣) 官方公告, KuCoin宣布上線 GamerCoin (GHX) 項目并支持GHX/USDT 交易對,目前已開啟GHX的充值服務, 于4月29日17:00 (UTC+8)正式開放交易。

GamerHash是允許游戲玩家共享其閑置的CPU / GPU,來挖加密貨幣或通過玩游戲賺取加密貨幣的平臺。以“全民的交易所”著稱, KuCoin (庫幣) 旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/28 21:07:42]

而通過鏈上數據查詢工具,我們甚至可以追蹤到該錢包的關聯地址及持倉情況。

CoinStats與Mercuryo達成合作,允許用戶通過信用卡購買加密貨幣:投資組合管理應用程序CoinStats今天宣布與Mercuryo達成合作,支持在其iOS應用程序上使用信用卡購買加密貨幣。該應用程序允許用戶購買多種代幣,包括比特幣和以太坊,并通過整合Mercuryo小部件直接將這些資產轉移到用戶的聯網交易賬戶/錢包中。(AMBCrypto)[2020/5/27]

圖片來自watchers

在這個例子當中,由于KinkyBedBugs是一個匿名賬戶,并且其顯然做好了NFT錢包與主錢包地址的分離,因此,以上的信息泄露可能都是KinkyBedBugs故意而為之的。

但如果通過NFT關聯到了持有者的真實身份,并且其沒有做好錢包聯系分離,一旦被懷有惡意的對手方利用,NFT持有者就可能面臨非常危險的攻擊。

在了解了ERC-721NFT帶來的隱私泄露問題的嚴重性后,我們需要了解一些緩解措施。

緩解措施1:做好錢包隔離和身份隔離工作

正如在本文當中提到的例子,我們在使用ENStoken時,應盡量避免將自己的真實身份與錢包地址聯系在一起,例如真實姓名拼音或常用英文名可能都是糟糕的選擇,而采用一些較通用的詞,例如DeFi、NFT、DAO、DEX等,可以增加一些隱私性。

接下來,錢包隔離工作將是至關重要的,一般來說,我們都會有多個以太坊錢包地址,其中會有1-2個存放資金的主地址,而其余存放小額資金的錢包地址會用于日常的交易或協議交互。

而我們要做的,就是切斷主錢包地址和日常交易地址之間的任何聯系,這意味著這些錢包之間不能有任何相互轉賬的操作。

做好錢包隔離工作之后,我們將主錢包用于存錢用途,而將日常用的錢包用于存放價值較低的ENS或NFT小圖片。

緩解措施2:隱身地址(stealthaddress)

近期,以太坊研究人員AntonWahrst?tter在ethresear.ch發表了一項ERC721擴展提案?,其提議將zk-SNARK技術應用到ERC-721,以保護相關NFT持有者的隱私。

對此,以太坊聯合創始人Vitalik評論稱,使用常規隱身地址?。

那這種技術方案的原理是怎樣的呢?Vitalik解釋稱:

「1、每一個用戶都有一個私有p;

2、要發送給某人,首先生成一個新的一次性密鑰s,然后發布公鑰S

3、發送方和接收方都可以計算一個共享密鑰Q=P*s=p*S。他們可以使用這個共享密鑰生成一個新地址A=pubtoaddr(P+G*hash(Q)),并且接收者可以計算相應的私鑰p+hash(Q)。發送方可以將他們的ERC20發送到該地址;

4、發送方將掃描所有提交的S值,為每個S值生成對應的地址,如果他們找到包含ERC721token的地址,他們將記錄地址和密鑰,以便他們可以跟蹤他們的ERC721token,并在未來快速發送;

通過在智能合約錢包內納入此方法,你可以將該方案推廣到智能合約錢包:

generateStealthAddress(bytes32key)returns(bytespublishableData,addressnewAddress)

這樣發送方將在本地調用,發送方將發布publishableData并使用newAddress作為ERC721目標地址。假設接收者將以這樣的方式對generateStealthAddress進行編碼,以便他們可以使用publishableData以及他們個人擁有的一些秘密來計算可在newAddress訪問ERC721的私鑰。

而剩下的一個挑戰就是弄清楚如何支付費用。」

這一想法也獲得了AntonWahrst?tter的認可,其目前正在根據vitalik的建議撰寫一份EIP?,計劃將提議的generateStealthAddress(bytes32key)應用到智能合約錢包當中。

緩解措施3:零知識證明方案

然而,正如BainCapitalCrypto研究合伙人WeiDai指出的那樣?,隱身地址方案的缺點在于,如果它應用于ERC-721以外的任何token(例如ERC-20或ERC-1155),由于可以追蹤傳輸鏈,其可添加的隱私性是非常有限的。相比之下,基于zk-SNARK零知識證明的方法可以完全保持機密性或匿名性。

在他看來,理想情況下,L1應支持可由智能合約應用使用的隱私保護token,這可以通過已知技術實現,實際上,用戶可以充分利用Aztec等以隱私為中心的L2,并在L1上默認設置隱私保護token記賬,他進一步解釋稱:

「以太坊內置隱私的主要問題是,我們有一個和EOA相關的固定gas費用支付機制,除非我們有保護隱私的gas支付方式,否則所有隱私保護token標準都沒有實際意義。這就是為什么目前最好在以太坊的單獨層中完成隱私,除非可以進行保護隱私的gas支付。」

而擺在用戶面前的另一個問題是,采用零知識證明隱私解決方案,可能會遇到監管上的一些麻煩,例如FTX交易所就屏蔽了一些Aztec用戶地址,并發出了相關警告。

可見,更好的隱私性,也不一定是一件好事。

一點淺見

作為一名普通的以太坊用戶,就目前來說,我們首先應做好身份隔離和錢包隔離工作,以避免嚴重的隱私泄露問題,而在不久的將來,內置隱身地址方案的智能合約錢包,可能會得到更多的采用。

而隱私性更好的零知識證明方案,由于監管方面的擔憂,或許會遇到一些阻力,這還需要我們更多的觀察。

Tags:MERMERCNFTKENHAMMER幣MercuryMUCNFT幣Tokens of Babel

SHIB
以太坊合并前夜:算力背后的資本角逐_以太坊

原文作者:Jessy “搞分叉嗎?” “搞嘛?” 對話發生在寶二爺和AWSB社區的一名志愿者何夏之間.

1900/1/1 0:00:00
新加坡出新規 加強監管加密貨幣“移民”_區塊鏈

新加坡高級部長、新加坡金融管理局主席尚達曼曾表示,隨著中國、美國和英國在內的全球監管方收緊監管政策,自2020年1月《支付服務法案》生效以來,大量加密機構、平臺涌入新加坡發展.

1900/1/1 0:00:00
解析會話密鑰:Web3版“免密支付”_ION

錢包授權一直是與DApp交互的必要流程,但我們在DeFi、GameFi中交互的過程中往往會需要在短時間內多次授權,這非常影響用戶體驗.

1900/1/1 0:00:00
Uniswap 頂流之路:機制、決策與風險分析_NFT

Uniswap憑借著簡潔、創新和安全的優勢成為了DEX賽道上的頭部協議,期間雖遭遇多番挑戰,但依然捍衛著其龍頭桂冠.

1900/1/1 0:00:00
通過5個概念 一文弄明白DAO_ORG

深入研究“什么是DAO”的問題,并提出5個不同的概念視角,使我們能夠更有效的用于對現有組織機構的協調和研究.

1900/1/1 0:00:00
游戲經濟思考:加密游戲是否真的需要加密貨幣?_ZYN

游戲將不可避免的跨越鴻溝進入加密貨幣。原文標題:《加密游戲:最實用的論文》 撰文:Arad 編譯:Blockunicorn現在是審視現實本身的時候了,而不是審視其背后抽象的概念想法.

1900/1/1 0:00:00
ads