TOKEN:ERC-721 隱私泄露問題凸顯 三種方案或能緩解

撰文：隔夜的粥

當前，NFT 市場主要使用了三種 token 標準，它們分別是 ERC-721、ERC-1155 以及 ERC-998，而占據整個市場主導地位的依舊是 ERC-721 token 標準，例如無聊猿（BAYC）、加密朋克（CryptoPunks）、ENS 等眾多第一梯隊的 NFT 項目均采用了該 token 標準。

然而，隨著鏈上分析工具的發展，采用 ERC-721 標準的 NFT 面臨的隱私泄露問題變得越來越嚴峻。

為了說明問題的嚴重性，本文先通過一個例子來進行說明。

使用 ERC-721 代幣標準發行的資產都具有獨一無二的特點，這無疑是推動 NFT 資產炒作的一個重要屬性，然而當前以太坊等公鏈還具有了賬本公開透明的特點，意味著用戶可使用區塊鏈瀏覽器等工具，通過 ERC-721 代幣查詢自己或他人的錢包信息。

FTX現已支持ERC-20 GMT:據官方消息，FTX現已支持ERC-20 (Ethereum) - GMT。[2022/7/6 1:55:59]

最容易暴露隱私的 ERC-721 token，自然就是 ENS，其在為用戶提供便利的同時，造成了非常嚴重的隱私泄露，例如近期的「知名 ENS 地址遭投」事件，僅僅是 ENS 隱私泄露問題的冰山一角。

除了 ENS ，頭像類的 ERC-721 token 也會帶來嚴重的隱私泄露問題。

舉例來說，近日，用戶名為 KinkyBedBugs 的 Twitter 用戶花費了 400 ETH 購買了一只胖企鵝（Pudgy Penguins）NFT，并將其用作自己的 Twitter 頭像。

公告 | BKEX Global 即將恢復ETH及相關ERC20代幣的充提功能:據BKEX公告，BKEX Global已完成對ETH的伊斯坦布爾升級，將于12月8日12:00（UTC+8）前陸續恢復ETH及相關ERC20代幣的充提功能。[2019/12/8]

通過查詢 opensea 的數據記錄（或特征），我們可得知購買該 NFT 的錢包地址就是 saudietheran.eth（0 x304A97c9A85C92C93Ca24e0A85B69f892B67355E），在該網站上，我們可以看到該錢包地址持有的所有 NFT。

而通過鏈上數據查詢工具，我們甚至可以追蹤到該錢包的關聯地址及持倉情況。

動態 | HT活躍地址增長速率達到101% 居ERC20代幣活躍地址數首位:據TokenGazer數據分析顯示，2月13日ERC20代幣中活躍地址數排名前五的代幣是：HT，USDC，NPXS，DAI，ZRX；活躍地址數增長速度排名前五的代幣是：HT，EVN，SNM，XET，NOAH。[2019/2/14]

圖片來自 watchers

在這個例子當中，由于 KinkyBedBugs 是一個匿名賬戶，并且其顯然做好了 NFT 錢包與主錢包地址的分離，因此，以上的信息泄露可能都是 KinkyBedBugs 故意而為之的（主動將信息透露給公眾，以實現某種目的）。

但如果通過 NFT 關聯到了持有者的真實身份，并且其沒有做好錢包聯系分離，一旦被懷有惡意的對手方（例如黑客、投者、敲詐者等）利用，NFT 持有者就可能面臨非常危險的攻擊。

Upbit發布ERC-20代幣存取資金時間延遲的公告:韓國最大的加密貨幣交易所之一Upbit發出公告稱存入資金地址和存取資金申請者瞬間增加，網絡擁堵，導致ERC-20代幣存取資金發生延遲。Upbit表示：現按照申請順序進行處理中，望用戶理解。[2018/4/26]

在了解了 ERC-721 NFT 帶來的隱私泄露問題的嚴重性后，我們需要了解一些緩解措施。

正如在本文當中提到的例子，我們在使用 ENS token 時，應盡量避免將自己的真實身份與錢包地址聯系在一起，例如真實姓名拼音或常用英文名可能都是糟糕的選擇，而采用一些較通用的詞，例如 DeFi、NFT、DAO、DEX 等，可以增加一些隱私性。

接下來，錢包隔離工作將是至關重要的，一般來說，我們都會有多個以太坊錢包地址，其中會有 1-2 個存放資金的主地址，而其余存放小額資金的錢包地址會用于日常的交易或協議交互。

Merculet Japan株式會社正式在日本東京成立:今年4月，隨著Merculet國際化區塊鏈業務的拓展， Merculet Japan株式會社宣布正式在日本東京成立，Merculet 合伙人兼Merculet Japan株式會社CEO胡曉軍（Stanley Hu）將從5月起常駐日本，負責日本區塊鏈業務的開展與合作。日經BP社高級執行董事取締役-藤田憲治，日經BP社日經商業周刊副主編小平和良與日經FinTech主編原隆等日經BP社相關高層紛紛發來賀電，期待Merculet在日本以及全球市場取得更廣泛的合作和發展。據悉，Merculet日本網站也即將上線[2018/4/22]

而我們要做的，就是切斷主錢包地址和日常交易地址之間的任何聯系，這意味著這些錢包之間不能有任何相互轉賬的操作。（注：如果實在有轉賬的需求，可以通過中心化交易所作為中間的橋梁）

做好錢包隔離工作之后，我們將主錢包用于存錢用途，而將日常用的錢包用于存放價值較低的 ENS 或 NFT 小圖片。

近期，以太坊研究人員 Anton Wahrst?tter（@Nerolation）在 ethresear.ch 發表了一項 ERC721 擴展提案?，其提議將 zk-SNARK 技術應用到 ERC-721，以保護相關 NFT 持有者的隱私。

對此，以太坊聯合創始人 Vitalik 評論稱，使用常規隱身地址?（stealth address) 技術可以更簡單地實現，不需要 Merkle 樹或 ZK-SNARK 級別隱私的原因在于，每個 ERC721 都是獨一無二的，因此不可能為 ERC721 創建「匿名集」。相反，用戶只是想隱藏指向發送者和接受者的高度可見的公共身份鏈接（因此，你可以將一個 ERC721 token 發送給 vitalik.eth，此時 Vitalik 本人可以看到這一點，但其他人都不能看到 vitalik.eth 這個地址收到了一個 ERC721 token，他們只能看到某人收到了一個 ERC721 token）。

那這種技術方案的原理是怎樣的呢？Vitalik 解釋稱：

這一想法也獲得了 Anton Wahrst?tter 的認可，其目前正在根據 vitalik 的建議撰寫一份 EIP?，計劃將提議的 generateStealthAddress (bytes32 key) 應用到智能合約錢包當中。

然而，正如 Bain Capital Crypto 研究合伙人 Wei Dai 指出的那樣?，隱身地址（stealth address）方案的缺點在于，如果它應用于 ERC-721 以外的任何 token（例如 ERC-20 或 ERC-1155 )，由于可以追蹤傳輸鏈，其可添加的隱私性是非常有限的。相比之下，基于 zk-SNARK 零知識證明的方法可以完全保持機密性或匿名性。

在他看來，理想情況下，L1 應支持可由智能合約應用使用的隱私保護 token，這可以通過已知技術實現，實際上，用戶可以充分利用 Aztec 等以隱私為中心的 L2，并在 L1 上默認設置隱私保護 token 記賬，他進一步解釋稱：

而擺在用戶面前的另一個問題是，采用零知識證明隱私解決方案，可能會遇到監管上的一些麻煩，例如 FTX 交易所就屏蔽了一些 Aztec 用戶地址，并發出了相關警告。

可見，更好的隱私性，也不一定是一件好事。

作為一名普通的以太坊用戶，就目前來說，我們首先應做好身份隔離和錢包隔離工作，以避免嚴重的隱私泄露問題，而在不久的將來，內置隱身地址（stealth address）方案的智能合約錢包，可能會得到更多的采用。

而隱私性更好的零知識證明方案，由于監管方面的擔憂，或許會遇到一些阻力，這還需要我們更多的觀察。

DeFi之道

個人專欄

閱讀更多

金色早8點

Bress

鏈捕手

財經法學

PANews

成都鏈安

Odaily星球日報

Tags：NFTTOKTOKENKENPIXLS Vault (NFTX)VEDA TokenSKYFT TokenAtari Token

NEAR