TOK:ERC-721 隱私泄露問題凸顯 三種方案或能緩解_New XChain Token

撰文：隔夜的粥

當前，NFT 市場主要使用了三種 token 標準，它們分別是 ERC-721、ERC-1155 以及 ERC-998，而占據整個市場主導地位的依舊是 ERC-721 token 標準，例如無聊猿（BAYC）、加密朋克（CryptoPunks）、ENS 等眾多第一梯隊的 NFT 項目均采用了該 token 標準。

然而，隨著鏈上分析工具的發展，采用 ERC-721 標準的 NFT 面臨的隱私泄露問題變得越來越嚴峻。

為了說明問題的嚴重性，本文先通過一個例子來進行說明。

使用 ERC-721 代幣標準發行的資產都具有獨一無二的特點，這無疑是推動 NFT 資產炒作的一個重要屬性，然而當前以太坊等公鏈還具有了賬本公開透明的特點，意味著用戶可使用區塊鏈瀏覽器等工具，通過 ERC-721 代幣查詢自己或他人的錢包信息。

Andre Cronje提出附屬于NFT的ERC-20標準游戲資產gold:9月7日消息，繼提出Fantom公鏈上的類Loot項目Rarity，為其中的游戲角色Summoner增加6種屬性后，Andre Cronje于昨日提出附屬于Summoner的ERC-20標準的游戲資產gold。Summoner從第2級開始可以獲得gold，每升一級都可以獲得gold，gold不被任何地址持有，而是為Summoner這種NFT所有，Summoner之間可以交易gold。[2021/9/7 23:05:36]

最容易暴露隱私的 ERC-721 token，自然就是 ENS，其在為用戶提供便利的同時，造成了非常嚴重的隱私泄露，例如近期的「知名 ENS 地址遭投」事件，僅僅是 ENS 隱私泄露問題的冰山一角。

除了 ENS ，頭像類的 ERC-721 token 也會帶來嚴重的隱私泄露問題。

GingerCat(GCAT)將于5月15日上線PancakeSwap:據官方消息，GingerCat (GCAT)是由社區聯合發行的DeFi概念化項目，正開發量子級快速手機查價應用。無私募、無眾籌。據了解，總量9.99億的代幣項目方會每季度進行黑洞銷毀，直至銷毀99%數量。[2021/5/15 22:05:43]

舉例來說，近日，用戶名為 KinkyBedBugs 的 Twitter 用戶花費了 400 ETH 購買了一只胖企鵝（Pudgy Penguins）NFT，并將其用作自己的 Twitter 頭像。

通過查詢 opensea 的數據記錄（或特征），我們可得知購買該 NFT 的錢包地址就是 saudietheran.eth（0 x304A97c9A85C92C93Ca24e0A85B69f892B67355E），在該網站上，我們可以看到該錢包地址持有的所有 NFT。

Cardano發布Goguen路線圖并演示ERC-20轉換器:Cardano剛剛發布了Goguen路線圖，大部分部件計劃在2021年2月底交付。隨著Goguen的推出，Cardano正在成為一個智能合約平臺。交易元數據在Cardano上的部署將通過Atala產品套件（包括Atala Prism，Atala Trace和Atala Scan解決方案）進行早期商業化。此外，ERC-20轉換器還進行了現場演示，將允許以太坊上的項目和代幣移植到Cardano上。

Cardano創始人、IOHK首席執行官Charles Hoskinson在視頻中表示：“在ERC-20轉換器中，原生資產標準的意義在于建立一種技術的共同進化和技術的商業化……我們一直在用它作為一種方式，與那些想要遷移或在Cardano基礎上構建的人進行對話。”他特別強調，在Cardano上發行的任何資產都受到與ADA相同的對待，不像在以太坊區塊鏈上，ETH被優先考慮，其他資產被視為“二等公民”。（AMBCrypto）[2020/10/30 11:14:07]

動態 | Prime Trust宣布接受ERC-20代幣:據globenewswire消息，以區塊鏈為導向的信托公司Prime Trust周二宣布，其針對機構投資者和散戶的托管服務現在不僅接受比特幣和以太坊，而且還接受任何ERC-20代幣。[2018/9/26]

而通過鏈上數據查詢工具，我們甚至可以追蹤到該錢包的關聯地址及持倉情況。

圖片來自 watchers

在這個例子當中，由于 KinkyBedBugs 是一個匿名賬戶，并且其顯然做好了 NFT 錢包與主錢包地址的分離，因此，以上的信息泄露可能都是 KinkyBedBugs 故意而為之的（主動將信息透露給公眾，以實現某種目的）。

多個ERC20幣種存重大安全隱患 “攻擊者”可操縱幣價套利:區塊鏈安全公司PeckShield向包括火幣，幣安以及OKex等在內的多個主流交易所發出安全警報：調研發現，多個已經在主流交易所上線的ERC20幣種的智能合約代碼存在嚴重安全隱患，“攻擊者”可通過公開的接口直接割韭菜套利。據PeckShield研究人員透露，截至目前已發現十余種Token在多個主流交易所上線，影響了包括幣安,火幣以及OKex在內的主流交易所10余家。據統計，存在該隱患的最大幣種市值已達1.5億美金，全部幣種共影響波及數十萬投資者。一旦該安全隱患被利用，攻擊者僅用技術手段就可實施割韭菜行為，將會給相關Token持有者帶來重大損失。[2018/6/9]

但如果通過 NFT 關聯到了持有者的真實身份，并且其沒有做好錢包聯系分離，一旦被懷有惡意的對手方（例如黑客、投者、敲詐者等）利用，NFT 持有者就可能面臨非常危險的攻擊。

在了解了 ERC-721 NFT 帶來的隱私泄露問題的嚴重性后，我們需要了解一些緩解措施。

正如在本文當中提到的例子，我們在使用 ENS token 時，應盡量避免將自己的真實身份與錢包地址聯系在一起，例如真實姓名拼音或常用英文名可能都是糟糕的選擇，而采用一些較通用的詞，例如 DeFi、NFT、DAO、DEX 等，可以增加一些隱私性。

接下來，錢包隔離工作將是至關重要的，一般來說，我們都會有多個以太坊錢包地址，其中會有 1-2 個存放資金的主地址，而其余存放小額資金的錢包地址會用于日常的交易或協議交互。

而我們要做的，就是切斷主錢包地址和日常交易地址之間的任何聯系，這意味著這些錢包之間不能有任何相互轉賬的操作。（注：如果實在有轉賬的需求，可以通過中心化交易所作為中間的橋梁）

做好錢包隔離工作之后，我們將主錢包用于存錢用途，而將日常用的錢包用于存放價值較低的 ENS 或 NFT 小圖片。

近期，以太坊研究人員 Anton Wahrst?tter（@Nerolation）在 ethresear.ch 發表了一項 ERC721 擴展提案?，其提議將 zk-SNARK 技術應用到 ERC-721，以保護相關 NFT 持有者的隱私。

對此，以太坊聯合創始人 Vitalik 評論稱，使用常規隱身地址?（stealth address) 技術可以更簡單地實現，不需要 Merkle 樹或 ZK-SNARK 級別隱私的原因在于，每個 ERC721 都是獨一無二的，因此不可能為 ERC721 創建「匿名集」。相反，用戶只是想隱藏指向發送者和接受者的高度可見的公共身份鏈接（因此，你可以將一個 ERC721 token 發送給 vitalik.eth，此時 Vitalik 本人可以看到這一點，但其他人都不能看到 vitalik.eth 這個地址收到了一個 ERC721 token，他們只能看到某人收到了一個 ERC721 token）。

那這種技術方案的原理是怎樣的呢？Vitalik 解釋稱：

這一想法也獲得了 Anton Wahrst?tter 的認可，其目前正在根據 vitalik 的建議撰寫一份 EIP?，計劃將提議的 generateStealthAddress (bytes32 key) 應用到智能合約錢包當中。

然而，正如 Bain Capital Crypto 研究合伙人 Wei Dai 指出的那樣?，隱身地址（stealth address）方案的缺點在于，如果它應用于 ERC-721 以外的任何 token（例如 ERC-20 或 ERC-1155 )，由于可以追蹤傳輸鏈，其可添加的隱私性是非常有限的。相比之下，基于 zk-SNARK 零知識證明的方法可以完全保持機密性或匿名性。

在他看來，理想情況下，L1 應支持可由智能合約應用使用的隱私保護 token，這可以通過已知技術實現，實際上，用戶可以充分利用 Aztec 等以隱私為中心的 L2，并在 L1 上默認設置隱私保護 token 記賬，他進一步解釋稱：

而擺在用戶面前的另一個問題是，采用零知識證明隱私解決方案，可能會遇到監管上的一些麻煩，例如 FTX 交易所就屏蔽了一些 Aztec 用戶地址，并發出了相關警告。

可見，更好的隱私性，也不一定是一件好事。

作為一名普通的以太坊用戶，就目前來說，我們首先應做好身份隔離和錢包隔離工作，以避免嚴重的隱私泄露問題，而在不久的將來，內置隱身地址（stealth address）方案的智能合約錢包，可能會得到更多的采用。

而隱私性更好的零知識證明方案，由于監管方面的擔憂，或許會遇到一些阻力，這還需要我們更多的觀察。

DeFi之道

個人專欄

閱讀更多

金色早8點

Bress

鏈捕手

財經法學

PANews

成都鏈安

Odaily星球日報

Tags：NFTTOKEKENTOKNFTALLBI價格Nero TokenCZodiac StabletokenNew XChain Token

XRP