这不是黑客攻击。钱包就是按设计要求运行的。比利时鲁汶大学DistriNet安全团队测试了Chrome Web Store上安装量合计约3500万的85款主流加密钱包浏览器扩展,结果发现这些钱包本身泄露的信息,足以把使用者的真实身份和所谓的"匿名"加密身份挂钩。
研究团队用真实钱包访问真实Web3站点,绘制出钱包与网站交互过程中的五类隐私弱点。当他们在论文发表前向钱包开发商报告影响最广泛的漏洞时,大多数厂商拒绝承认这是bug。该研究将在今年7月底于卡尔加里举行的PETS 2026隐私会议上正式宣读。
![]()
首先被盯上的问题是"地址关联"。很多人刻意持有多个钱包地址,为的是把金融生活的不同侧面隔离开。但前提是没人能把这些地址归拢到同一个人头上。真相是——钱包为了显示余额,会持续向外部服务器发送请求,而你的地址就明晃晃地写在请求里。
当一个请求里塞进了你的两个地址,接收服务器就拿到了"它们属于同一人"的证据。研究发现17款钱包暴露了用户不同地址之间的关联。其中13款做得直白,直接把两个地址打捆塞进一次请求;另外4款则是在毫秒级间隔内分别发送请求,信号弱一些,但同样能用来推断。这些钱包加起来覆盖了约2300万装机量。服务器运营者、或是日后拿到这批数据的任何人,都可以把地址拼成一个人的完整画像。
第二个问题和第三个问题共享同一个起点:网站能识别你装了哪些钱包。每个钱包扩展都会向加载的页面"自报家门",脚本可以读出你的钱包扩展清单。这构成了一种指纹,哪怕你从未连接钱包,甚至禁用了Cookie也无法避免。85款中有36款会暴露自己,它们的用户占研究总装机量的约82%。
当你把钱包连接到某个网站又断开时,你默认网站失去了访问权限。事实经常相反。研究团队在测试30款主流Web3应用时发现,用户点击"断开连接"或"登出"后,只有11款应用向钱包发出了真正的撤销指令,其余只是清空了自己界面的显示。更糟糕的是,即便撤销指令发出去了,很多钱包也视而不见——36款里占22款,在这些钱包上断开后网站仍能读取你的地址。
这类交互方式让追踪者可以从一个站点跟到另一个站点,在不同浏览场景下串联你的身份。如果一个网站上已经存了姓名或电子邮箱,这些泄露就能直接把真实身份贴到"匿名"钱包地址上。研究揭示的不是某个漏洞,而是加密钱包生态中普遍存在的设计惯例——你的地址暴露在请求中、你的钱包清单暴露在页面上、你的"登出"操作可能根本无效。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.