月亮链 月亮链
Ctrl+D收藏月亮链

NFT:ERC-721 隐私泄露问题凸显 三种方案或能缓解_Santas War NFT Epic

作者:

时间:1900/1/1 0:00:00

?钱包和身份隔离、隐身地址以及零知识证明。

撰文:隔夜的粥

当前,NFT市场主要使用了三种token标准,它们分别是ERC-721、ERC-1155以及ERC-998,而占据整个市场主导地位的依旧是ERC-721token标准,例如无聊猿、加密朋克、ENS等众多第一梯队的NFT项目均采用了该token标准。

然而,随着链上分析工具的发展,采用ERC-721标准的NFT面临的隐私泄露问题变得越来越严峻。

为了说明问题的严重性,本文先通过一个例子来进行说明。

ERC-721NFT如何泄露隐私

使用ERC-721代币标准发行的资产都具有独一无二的特点,这无疑是推动NFT资产炒作的一个重要属性,然而当前以太坊等公链还具有了账本公开透明的特点,意味着用户可使用区块链浏览器等工具,通过ERC-721代币查询自己或他人的钱包信息。

最容易暴露隐私的ERC-721token,自然就是ENS,其在为用户提供便利的同时,造成了非常严重的隐私泄露,例如近期的「知名ENS地址遭投」事件,仅仅是ENS隐私泄露问题的冰山一角。

拉丁美洲电子商务巨头Mercado Libre在巴西推出加密货币:金色财经报道,拉丁美洲市值最大的电子商务公司Mercado Libre(MELI)宣布开始在巴西推出自己的加密货币Mercado Coin,Mercado Coin可用于在Mercado Libre上进行购买,并将其作为返现奖励。Mercado Libre预计,该加密货币将在8月底之前向其在巴西的8000万用户提供,并表示计划“很快”将其引入其他国家,但未提供更多细节。Mercado Coin基于以太坊区块链的ERC-20代币标准开发,在第一阶段用户将无法将其转移到外部钱包。(CoinDesk)[2022/8/19 12:35:24]

除了ENS,头像类的ERC-721token也会带来严重的隐私泄露问题。

举例来说,近日,用户名为KinkyBedBugs的Twitter用户花费了400ETH购买了一只胖企鹅NFT,并将其用作自己的Twitter头像。

巴西加密交易所Mercado Bitcoin控股公司2TM已解雇86名员工:6月3日消息,巴西加密交易所 Mercado Bitcoin 控股公司 2TM 已解雇 86 名员工,「不断变化的全球金融格局,利率上升和通货膨胀对以技术为基础的公司产生了重大影响,不仅仅是降低运营费用,因此有必要解雇我们的部分员工」。根据其 LinkedIn 页面,Mercado 加密市场拥有超过 580 名员工,而 2TM 拥有 80 多名员工。

此前报道,5 月份拉丁美洲加密货币交易所 Bitso 裁员 80 人。(CoinDesk)[2022/6/3 4:00:32]

通过查询opensea的数据记录,我们可得知购买该NFT的钱包地址就是saudietheran.eth,在该网站上,我们可以看到该钱包地址持有的所有NFT。

CoinStats与Mercuryo达成合作,允许用户通过信用卡购买加密货币:投资组合管理应用程序CoinStats今天宣布与Mercuryo达成合作,支持在其iOS应用程序上使用信用卡购买加密货币。该应用程序允许用户购买多种代币,包括比特币和以太坊,并通过整合Mercuryo小部件直接将这些资产转移到用户的联网交易账户/钱包中。(AMBCrypto)[2020/5/27]

而通过链上数据查询工具,我们甚至可以追踪到该钱包的关联地址及持仓情况。

图片来自watchers

在这个例子当中,由于KinkyBedBugs是一个匿名账户,并且其显然做好了NFT钱包与主钱包地址的分离,因此,以上的信息泄露可能都是KinkyBedBugs故意而为之的。

动态 | Nationwide Merchant Solution将为企业和商家设置DigiByte支付:据ambcrypto报道,DGB(DigiByte)团队最近宣布,商业支付解决方案Nationwide Merchant Solution将为企业和商家设置DigiByte支付。DigiByte首席营销官Rudy Bouwman随后在推文中证实了这一消息。[2019/5/25]

但如果通过NFT关联到了持有者的真实身份,并且其没有做好钱包联系分离,一旦被怀有恶意的对手方利用,NFT持有者就可能面临非常危险的攻击。

在了解了ERC-721NFT带来的隐私泄露问题的严重性后,我们需要了解一些缓解措施。

缓解措施1:做好钱包隔离和身份隔离工作

正如在本文当中提到的例子,我们在使用ENStoken时,应尽量避免将自己的真实身份与钱包地址联系在一起,例如真实姓名拼音或常用英文名可能都是糟糕的选择,而采用一些较通用的词,例如DeFi、NFT、DAO、DEX等,可以增加一些隐私性。

分析 | HT代币活跃地址数激增 居ERC20代币前5 ?:据TokenGazer数据分析显示,过去24小时里ERC20代币中活跃地址数排名前五的代币是:BNB, MXM ENJ, HT, USDC。其中,HT的活跃地址数居第四位,且涨幅较大。

?

火币全球站将于3月26日21:00通过火币优选上币通道(Huobi Prime)上线TOP Network。在当前火热IEO市场中,作为火币推出的第一个类似项目,既不需要KYC又不设置HT持仓门槛,必然会吸引更多用户参与其中,这也是HT活跃地址数出现大幅增长的原因。[2019/3/26]

接下来,钱包隔离工作将是至关重要的,一般来说,我们都会有多个以太坊钱包地址,其中会有1-2个存放资金的主地址,而其余存放小额资金的钱包地址会用于日常的交易或协议交互。

而我们要做的,就是切断主钱包地址和日常交易地址之间的任何联系,这意味着这些钱包之间不能有任何相互转账的操作。

做好钱包隔离工作之后,我们将主钱包用于存钱用途,而将日常用的钱包用于存放价值较低的ENS或NFT小图片。

缓解措施2:隐身地址(stealthaddress)

近期,以太坊研究人员AntonWahrst?tter在ethresear.ch发表了一项ERC721扩展提案?,其提议将zk-SNARK技术应用到ERC-721,以保护相关NFT持有者的隐私。

对此,以太坊联合创始人Vitalik评论称,使用常规隐身地址?。

那这种技术方案的原理是怎样的呢?Vitalik解释称:

「1、每一个用户都有一个私有p;

2、要发送给某人,首先生成一个新的一次性密钥s,然后发布公钥S

3、发送方和接收方都可以计算一个共享密钥Q=P*s=p*S。他们可以使用这个共享密钥生成一个新地址A=pubtoaddr(P+G*hash(Q)),并且接收者可以计算相应的私钥p+hash(Q)。发送方可以将他们的ERC20发送到该地址;

4、发送方将扫描所有提交的S值,为每个S值生成对应的地址,如果他们找到包含ERC721token的地址,他们将记录地址和密钥,以便他们可以跟踪他们的ERC721token,并在未来快速发送;

通过在智能合约钱包内纳入此方法,你可以将该方案推广到智能合约钱包:

generateStealthAddress(bytes32key)returns(bytespublishableData,addressnewAddress)

这样发送方将在本地调用,发送方将发布publishableData并使用newAddress作为ERC721目标地址。假设接收者将以这样的方式对generateStealthAddress进行编码,以便他们可以使用publishableData以及他们个人拥有的一些秘密来计算可在newAddress访问ERC721的私钥。

而剩下的一个挑战就是弄清楚如何支付费用。」

这一想法也获得了AntonWahrst?tter的认可,其目前正在根据vitalik的建议撰写一份EIP?,计划将提议的generateStealthAddress(bytes32key)应用到智能合约钱包当中。

缓解措施3:零知识证明方案

然而,正如BainCapitalCrypto研究合伙人WeiDai指出的那样?,隐身地址方案的缺点在于,如果它应用于ERC-721以外的任何token(例如ERC-20或ERC-1155),由于可以追踪传输链,其可添加的隐私性是非常有限的。相比之下,基于zk-SNARK零知识证明的方法可以完全保持机密性或匿名性。

在他看来,理想情况下,L1应支持可由智能合约应用使用的隐私保护token,这可以通过已知技术实现,实际上,用户可以充分利用Aztec等以隐私为中心的L2,并在L1上默认设置隐私保护token记账,他进一步解释称:

「以太坊内置隐私的主要问题是,我们有一个和EOA相关的固定gas费用支付机制,除非我们有保护隐私的gas支付方式,否则所有隐私保护token标准都没有实际意义。这就是为什么目前最好在以太坊的单独层中完成隐私,除非可以进行保护隐私的gas支付。」

而摆在用户面前的另一个问题是,采用零知识证明隐私解决方案,可能会遇到监管上的一些麻烦,例如FTX交易所就屏蔽了一些Aztec用户地址,并发出了相关警告。

可见,更好的隐私性,也不一定是一件好事。

一点浅见

作为一名普通的以太坊用户,就目前来说,我们首先应做好身份隔离和钱包隔离工作,以避免严重的隐私泄露问题,而在不久的将来,内置隐身地址方案的智能合约钱包,可能会得到更多的采用。

而隐私性更好的零知识证明方案,由于监管方面的担忧,或许会遇到一些阻力,这还需要我们更多的观察。

标签:NFTMERCMERTOKESantas War NFT EpicMercorHomer Simpson最新imtoken下载网址

比特币交易所热门资讯
STA:一文读懂StarkNet零知识递归证明:STARK_NFTBlackmarket

StarkNet零知识递归证明—STARK已上线,递归在成本和延迟方面的优势异常显著,还会催生L3和应用递归等新机会.

1900/1/1 0:00:00
WEB:「美好网络」:社交新媒体的四个愿景_ACE

过去的20年里,对研究社会变迁的人来说,社交媒体领域从理想之地变成了忧虑之乡。如果笃信新闻头条,社交媒体就成了现代生活中许多主要祸患的罪魁祸首.

1900/1/1 0:00:00
DEFI:“最强组合” 诞生:银行和 DeFi 如何携手打造去中心化经济?_Alchemist DeFi Aurum

去中心化金融(DeFi)的根源可以在2008年比特币白皮书中找到,该白皮书阐述了一种新的数字现金系统。在2008年比特币诞生之前,去中心化或基于社区的货币的想法就已经存在了,但从未完全流行起来.

1900/1/1 0:00:00
ROL:Crypto.com:Layer2是发挥以太坊潜力的关键_WEB

第2层是在现有的第1层区块链上运行的技术,它们托管去中心化的应用程序(dapp)。这些(第2层)技术的主要目的是解决第1层区块链的可扩展性限制,普遍主张更多的交易和更低的gas费用.

1900/1/1 0:00:00
SBT:深入理解灵魂绑定代币:起源、应用场景与技术实现_web3币有哪些

迈向Web3的重要观念突破。原文标题:《SBT综述》撰文:Solv研究组导言5月初SBT论文发表之后,迅速成为整个Web3领域最热门的话题之一.

1900/1/1 0:00:00
DAO:DAO 的代表机制:误读和误用_MAKE

本文是Orca协议对一种正在兴起的DAO治理模式元治理委员会的解析。通过与个人代表模式的对比,从提高参与效率、对齐激励和降低法律风险等多个方面,来说明元治理委员会不失为一个有希望的尝试方向.

1900/1/1 0:00:00