Há alguns dias, a ConsenSys atualizou seu Política de Privacidade, no qual há um parágrafo dedicado à carteira MetaMask e à política de login.
A carteira MetaMask e a nova política de login
A MetaMask é de longe uma das carteiras Ethereum mais usadas no mundo, com mais de 21 milhões de usuários ativos mensais, em parte porque funciona com uma extensão de navegador que permite que a carteira criptográfica seja fácil e rapidamente vinculada a muitos sites.
A ConsenSys Software Inc. é precisamente a empresa que produz e lança esta carteira, pelo que as suas declarações sobre a mesma são oficiais.
MetaMask permite que os usuários armazenem e gerenciem suas chaves privadas, por isso é uma carteira sem custódia. Obviamente, é usado para receber e enviar criptomoedas e tokens baseados em Ethereum, com a particularidade de poder ser facilmente conectado a vários sites e aplicativos descentralizados.
Dessa forma, ele não apenas possibilita a realização de transações de maneira bastante simples, mas também permite que os próprios sites e dApps autentiquem o usuário nos contratos inteligentes, ainda que de forma anônima.
Uma das críticas que sempre foram feitas a esta solução reside precisamente na gestão dos dados dos utilizadores.
Embora em teoria a carteira sem custódia deva deixar o usuário no controle total e exclusivo de seus dados, garantindo um bom nível de privacidade, na realidade, ela poderia potencialmente coletar e compartilhar informações com terceiros que poderiam tornar os usuários identificáveis.
A gravação de IPs no login usando a carteira MetaMask
Portanto, registrar o IP do usuário só aumenta as críticas a esse respeito.
O parágrafo na nova política de privacidade da ConsenSys diz que, ao usar o Infura como provedor RPC padrão no MetaMask, o Infura coletará os endereços IP dos usuários e os endereços da carteira Ethereum ao enviar uma transação.
Aqueles que não desejam que esses dados sejam coletados têm a opção de usar um provedor RPC terceirizado ou seu próprio nó Ethereum. No entanto, a ConsenSys adverte que outros provedores de RPC também coletam essas informações.
Vale a pena notar que o provedor Infura RPC é desenvolvido pela própria ConsenSys e é o provedor padrão no MetaMask.
Portanto, por padrão, a ConsenSys coletará os endereços IP dos usuários do MetaMask quando eles realizarem uma transação, oferecendo como alternativa apenas a escolha explícita de outro provedor RPC, mas sem indicar quais não coletam IPs dos usuários.
Outras informações coletadas
A nova página da Política de Privacidade da ConsenSys também lista outras informações coletadas, embora listadas em parágrafos diferentes daquele dedicado ao MetaMask.
Algumas dessas informações são solicitadas direta e explicitamente ao usuário, o que pode incluir nome e sobrenome, data de nascimento, endereço para correspondência, endereço de e-mail, número de telefone e assim por diante.
Outros, no entanto, são coletados por padrão quando você usa outros serviços da ConsenSys, como, por exemplo, o Codefi também coleta seu país e local de nascimento, nacionalidade, número do seguro social, empregador, ocupação, identidade e outras informações necessárias para cumprir as leis anti-dinheiro. leis de lavagem de dinheiro (AML) e requisitos KYC.
No entanto, a ConsenSys nesta página torna todas essas informações públicas e ostensivas, para que os usuários possam estar bem informados sobre quais dados eles entregam à empresa.
A ConsenSys é, para todos os efeitos, uma empresa privada, fundada em 2014 por Joseph Lubin, com sede na cidade de Nova York. Ela tem mais de 500 funcionários e nenhum dado sobre propriedade de acionistas ou receitas está disponível publicamente.
Infura
Carteiras como MetaMask não contêm um Ethereum nó dentro deles. Portanto, eles precisam se conectar com nós externos para funcionar.
Por padrão, o provedor RPC (Chamada de Procedimento Remoto) que eles usam é o Infura, que gerencia nós de blockchain. Quando alguém faz uma transação no MetaMask, ele se conecta ao Infura, que transmite a transação para o blockchain Ethereum. A conexão é feita por meio do “Remote Procedure Call”, que envia à Infura todos os dados para que ela transmita a transação para a rede Ethereum.
Ao instalar o MetaMask, o provedor RPC predefinido é justamente o Infura, portanto, se o usuário não o alterar, seu IP será registrado quando ele enviar uma transação.
No entanto, também estão disponíveis outros provedores de RPC aos quais os usuários podem conectar o MetaMask para não usar o Infura. No entanto, deve-se ter cautela porque não é certo que outros provedores de RPC sejam realmente melhores.
Os riscos
O maior risco neste ponto é que as transações on-chain sejam reconhecíveis.
Todos os dados de transações on-chain no Ethereum são públicos e em texto simples, incluindo o endereço da carteira do remetente. No entanto, são dados anônimos, dos quais deve ser muito difícil rastrear a identidade do proprietário da carteira.
A gravação de IP na cadeia reduz essa dificuldade, tornando um pouco mais fácil identificar o proprietário.
Verdade seja dita, o ConsenSys possui bastante dados para identificar os usuários, embora com o simples uso do MetaMask essa identificação ainda possa ser difícil. Porém, se outras ferramentas, como o Codefi, também forem utilizadas, a identificação fica muito mais fácil.
No entanto, as informações coletadas pela ConsenSys sobre seus usuários não são tornadas públicas e apenas alguns dados anônimos são registrados no blockchain.
Por último, deve-se acrescentar que, na realidade, muitos usuários que desejam manter um alto nível de anonimato já usam ferramentas para ocultar ou alterar seu IP, como as chamadas VPNs, portanto, mesmo no caso em que o provedor RPC registra esses dados, é quase impossível usá-lo para identificar o dono da carteira.
Fonte: https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/