摘要:Rabby钱包被指在用户设置密码前便向第三方发送设备与行为数据,引发对隐私承诺的质疑。事件凸显非托管钱包在启动阶段的数据透明度问题,尤其对欧洲用户构成合规风险。
币圈界报道:
Rabby钱包启动阶段数据外传遭技术审计质疑
Gnosis技术副总裁兼HOPR创始人Sebastian C. Bürgel披露一组浏览器日志,揭示Rabby钱包在用户完成密码设定前已开始向matomo.rabby.io、Google Analytics及Sentry.io等平台传输配置信息,此举与其宣称的隐私保护理念形成明显冲突。
早期行为数据采集引发信任危机
分析显示,钱包初始加载流程中即存在大量外部通信,涉及设备指纹、网络环境及应用行为等敏感元数据。尽管私钥未被传送,但此类信息足以构建用户使用习惯画像,包括启动频率、界面路径和系统配置特征,构成潜在隐私暴露。
透明度缺失加剧欧盟合规风险
虽然隐私政策提及收集IP地址、设备标识符、操作系统及位置信息,但未明确列出第三方服务提供商,亦未说明数据采集起始时间点。这一信息空白导致用户难以判断其行为是否在知情同意前提下发生,尤其违反《通用数据保护条例》(GDPR)关于透明性与可追溯性的核心要求。
隐私边界已超越种子短语范畴
当前钱包安全已不再局限于密钥保护。用户需警惕扩展权限滥用、恶意弹窗诱导、虚假支持链接及本地文件泄露等新型攻击面。近期多起事件表明,即使为非托管钱包,若遥测机制缺乏限制与控制,仍可能造成行为轨迹外泄,影响DeFi交互模式与账户动态的隐秘性。
信任重建迫在眉睫
截至发稿,Rabby尚未就指控作出正式回应。公众期待其澄清生产环境日志真实性、数据内容范围、第三方处理方式及欧盟用户选择权机制。建议用户审查权限配置、分离高价值账户、启用硬件签名,并对所有浏览器钱包保持基本怀疑态度,避免默认其具备隐私保障能力。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。