A MetaMask, carteira cripto compatível com EVM mais usada atualmente, foi criada pela ConsenSys em 2016 e é o primeiro contato de muitos usuários com a Web3. De acordo com a política de privacidade atualizada pela Consensys no dia 23 e trazida à público no dia de ontem, a Metamask irá começar a coletar os endereços de IP e das carteiras Ethereum dos usuários quando realizarem transações on-chain. Esta coleta de dados só irá acontecer, no entanto, com relação àqueles que utilizarem a ferramenta Infura.
O que é Infura?
A Infura, adquirida pela Consensys no final de 2019, é uma ferramenta baseada em API que permite que os usuários conectem seus aplicativos à rede Ethereum, servindo de base para muitos projetos da Web3 como Aragon, Metamask, Gnosis, entre outros. Em síntese, podemos dizer que ela é uma provedora centralizada de serviços RPC. Já vamos entender melhor o que isto significa. O fato é que, ao utilizá-la como provedora de RPC padrão na Metamask, o usuário terá os supracitados dados coletados ao fazer uma transação.
O que é RPC?
Uma “Chamada de Procedimento Remoto (RPC)”, por sua vez, é justamente um conjunto de protocolos que permitem que uma plataforma, como a Metamask, interaja com uma blockchain. Em termos mais técnicos, ela possibilita que os nós se comuniquem entre si ou com uma máquina virtual. Cada nó pode enviar instruções para outros nós ou consultar dados oriundos deles em uma rede blockchain.
Em suma, para que aplicativos descentralizados (DApps) interajam com blockchains, eles precisam primeiro se conectar a um nó e depois se comunicar com a rede. E para que os DApps possam se conectar aos nós, utilizam justamente essa estrutura de RPC.
Talvez você não se lembre, mas já tenha lido o termo “RPC” anteriormente ao adicionar uma rede manualmente à carteira Metamask. Para isso, precisamos preencher o campo “New RPC URL”.
Como isso pode afetar os usuários da MetaMask?
Como a MetaMask depende de um único provedor de RPC para interagir e acessar as redes blockchain, podemos dizer basicamente que suas solicitações são processadas por uma entidade centralizada (Infura), o que a deixa exposta a riscos também centralizados com um único ponto de falha.
Destaca-se também que todos os serviços da MetaMask serão afetados em caso de problemas nos serviços da Infura. Em novembro de 2020, este serviço foi interrompido por não ter atualizado seus nós Geth. Muitos DApps construídos utilizando Infura sentiram o efeito, como a MetaMask, Uniswap, Compound, etc. Corretoras centralizadas, incluindo Binance e Coinbase (NASDAQ:COIN), até interromperam os saques de tokens ETH e ERC20.
Além disto, as operações de instituições centralizadas são muito mais facilmente submetidas à escrutínio regulatório, que é uma das possibilidades aventadas por trás da mudança de termos de privacidade da Metamask.
Em março de 2022, por exemplo, alguns usuários venezuelanos da MetaMask relataram no Twitter que não conseguiam acessar suas contas. A Infura, por sua vez, se pronunciou dizendo que alguns países como Cuba, Irã, Síria, Coréia do Norte e as regiões da Crimeia, Donetsk e Luhansk da Ucrânia, estavam bloqueadas nos serviços da Infura devido às sanções dos EUA. A Venezuela havia sido bloqueada por engano.
Obs: Há outros provedores de serviço RPC centralizados como Alchemy, Chainstack, Quicknode, etc. No entanto, talvez a melhor opção seja utilizar RPCs descentralizados.
Quais protocolos estão usando Infura?
Abaixo está uma lista de alguns dos clients que dependem da Infura. Vemos que os principais protocolos DeFi, provedores de infraestrutura e navegadores estão inseridos na lista.
O que fazer para proteger a privacidade? Quais as alternativas?
Existem duas possibilidades para preservar sua privacidade. Você pode executar seu próprio node para que nenhum terceiro tenha acesso às suas informações de transação, que é a maneira mais segura, ou você pode usar outros serviços RPC descentralizados como alternativa. Ou, então, serviços RPC centralizados com uma política de privacidade interessante, desde que você esteja ciente dos prós e contras da decisão.
Ao contrário dos provedores de serviços RPC centralizados, um provedor de serviços RPC descentralizado conta com a participação de vários nós em vez de uma única entidade. Normalmente, o protocolo é permissionless, pois cada nó pode fazer stake dos ativos do protocolo para ingressar na rede. Alguns provedores de RPC descentralizados são:
-
Ankr
-
Pocket Network
-
HOPR Protocol
E o caso da Uniswap?
A decisão da Consensys não agradou em nada a comunidade crypto, mas ela não está sozinha. Recentemente, na segunda-feira (21), a corretora descentralizada Uniswap também passou a coletar alguns dados on-chain e off-chain. Sabemos que os dados on-chain são informações públicas extraídas da blockchain, o que inclui tópicos como
-
número de transações,
-
transferências entre carteiras,
-
interações com contratos inteligentes
-
taxas geradas na rede, etc
Os dados off-chain, no entanto, são externos à uma blockchain. Na Uniswap, serão coletadas informações relacionadas ao navegador e ao tipo de dispositivo/sistema operacional utilizados pelos usuários sob o pretexto de melhorar suas experiências na plataforma. De acordo com o post feito na segunda-feira, a Uniswap esclareceu que:
“Nossa primeira prioridade é proteger os dados e a privacidade do usuário, mas queremos tomar decisões baseadas em dados que melhorem a experiência do usuário”
Vale ressaltar, no entanto, que apesar dos dados off-chain serem oriundos de fora do mundo das blockchains, podem ser vinculados à uma carteira específica ou à sua atividade na rede, o que possibilita um cruzamento de dados e um rastreio dos passos do usuário. Por outro lado, a exchange fez questão de deixar claro que a coleta não incluirá informações pessoais como nome, endereço, data de nascimento, endereço de e-mail ou até mesmo o IP.
Ao checarmos a política de privacidade da Uniswap, constatamos que ela informa que coleta determinados tipos de dados a fim de melhorar seus serviços, interromper atividades ilícitas e resolver problemas de segurança como bugs. Estes dados também seriam bastante úteis para os reguladores “cumprirem as leis e regulamentos aplicáveis”.
Alguns membros da comunidade crypto passaram a compartilhar suas preocupações de que os movimentos estão em contraste com os valores centrais do ecossistema, que é focado na privacidade e no anonimato do usuário. Convenhamos que não é muito característico que uma corretora descentralizada, que opera pautada em contratos inteligentes, colete e armazene informações dos usuários no backend.