La confidentialité de MetaMask est pire qu'il n'y paraît


La dernière mise à jour de l’outil API Infura de ConsenSys a provoqué un tollé dans la communauté Ethereum. Comme annoncé hier, Infura commencera à collecter et à attribuer les adresses IP et Ethereum des utilisateurs de MetaMask avec effet immédiat.

ConsenSys en avait informé le 23 novembre. Cependant, dans un article de blog, la société a minimisé les changements.

Il a déclaré que seule « la clarté concernant les informations collectées par Infura lorsque les utilisateurs utilisent Infura comme fournisseur RPC par défaut dans MetaMask » a été fournie.

La confidentialité de MetaMask est pire qu'il n'y paraît

« Les mises à jour de la politique n’entraînent pas de collecte ou de traitement de données plus intrusif, et n’ont pas été apportées en réponse à des modifications réglementaires ou à des demandes de renseignements.

Notre politique a toujours déclaré que certaines informations sont automatiquement collectées sur la façon dont les utilisateurs utilisent nos sites, et que ces informations peuvent inclure des adresses IP », a déclaré ConsenSys.

Dans le même temps, ConsenSys a souligné que lorsque les utilisateurs interagissent avec Ethereum via Infura, par exemple en envoyant une transaction ou en demandant un solde de compte, le fournisseur reçoit à la fois l’adresse IP et l’adresse du portefeuille de l’utilisateur.

« Ce n’est pas spécifique à Infura », a affirmé ConsenSys et a poursuivi en disant qu’il continuait « à rechercher des solutions techniques pour minimiser cette exposition, y compris des techniques d’anonymisation ».

Cependant, lorsque les utilisateurs utilisent votre propre nœud Ethereum ou un fournisseur RPC tiers avec MetaMask, ConsenSys indique que « ni Infura ni MetaMask ne captureront votre adresse IP ou votre adresse de portefeuille Ethereum ».

La mise à jour de la confidentialité est-elle encore pire pour les clients Ethereum et MetaMask ?

Remarquablement, Infura est vital pour la blockchain Ethereum. L’outil est utilisé par de nombreux autres projets Web3 notables tels que Polygon, Filecoin, Aragon, Gnosis et OpenZeppelin.

Adam Cochran, associé chez Cinneamhain Ventures, a commenté que « les trucs de MetaMask sont pires qu’ils ne le semblaient au premier abord ».

il enregistre TOUTES vos adresses sous la même adresse IP.

Cette base de données crée un risque de doxxing MAJEUR dans l’espace. Il est temps d’abandonner MM.

Cochran fait référence à un tweet de Micha Zoltu, qui a rédigé un rapport de bogue via GitHub. Selon Zoltu, Infura capture plus que ce que ConsenSys admet. L’outil collecte l’adresse IP ainsi que tous les comptes et toutes les adresses dès que l’utilisateur déverrouille le compte.

« Cela est également vrai pour d’autres chaînes, car un utilisateur se connectant à un réseau de test ou à L2 via MM enverra également au fournisseur RPC de cette chaîne tous ses comptes plutôt que le seul compte sélectionné », a écrit Zoltu sur GitHub.

L’analyste Bitcoin Dylan LeClair a commenté via Twitter uniquement « Probablement rien » et « Attention », soulignant qu’Infura avait déjà pris une décision controversée contre la vie privée en septembre en bloquant l’accès à Tornado Cash.

LeClair a également souligné le fait que JPMorgan a reçu une participation importante dans la propriété intellectuelle (PI) lucrative de ConsenSys, en particulier MetaMask et Infura, comme l’a révélé cette année un procès contre ConsenSys.

À l’époque, un groupe d’actionnaires de ConsenSys avait demandé une enquête sur un accord dans lequel JPMorgan avait acquis une participation importante dans les infrastructures Ethereum Infura et MetaMask. Il s’est avéré que JP Morgan a reçu une participation de 10 %. L’accord était connu sous le nom de « Projet North Star ».

À la presse, Ethereum (ETH) se négociait à 1 183 $, rebondissant du support à 1 171 $.

Prix ​​​​Ethereum, graphique d’une heure.