开源钱包Rabby因在用户完成密码设定前便主动传输配置信息,遭到Gnosis技术副总裁兼HOPR创始人Sebastian C. Bürgel公开质疑。相关浏览器日志显示,其初始加载流程中已向matomo.rabby.io、Google Analytics及Sentry.io等平台发送流量,构成潜在的数据暴露。
该行为的核心问题在于时间点——用户尚未建立身份认证,系统却已启动跨域数据传输。尽管未涉及私钥或助记词,但设备指纹、网络环境、启动时序和界面跳转路径等元数据仍具高度敏感性,可能被用于构建用户画像。
Rabby的隐私条款虽涵盖IP地址、操作系统、硬件型号等广泛信息,但并未列明具体合作分析服务商。这种模糊表述使用户难以判断数据流向,尤其在欧盟《通用数据保护条例》(GDPR)背景下,缺乏明确同意机制将构成合规风险。
当前加密钱包的风险范畴已远超传统“种子短语”防护。除授权滥用、恶意弹窗和虚假支持链接外,设备级遥测、会话令牌泄露及分析工具渗透也成为攻击入口。近期多起事件表明,即使非托管钱包也可能因过度采集行为导致隐私外泄。
截至发稿,Rabby未就指控作出正式回应。业内建议用户审查扩展权限、比对隐私声明、分离高价值账户,并考虑采用硬件钱包进行关键操作。此次事件凸显一个基本逻辑:自我托管的安全性不仅取决于密钥控制权,更取决于启动前是否已泄露行为轨迹。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.