创宇区块链:传统安全与IPFS间的安全性研究-ODAILY

前言

通信技术让世界具备了更多的连接,我们每个人都在这样的连接中被影响和受益着。同时这种连接也产生了更多对于监视需求的便利。许多人的隐私或自由可能会在不经意间受到影响,而这也催生了对于隐私保护的需求。通常,由于中心化服务器的存在,我们很难实现完整的隐私保护,而分布式的存储等技术,则让其成为了可能。

无数的开发者加入了Web3的开发实现中,陆续构建一个又一个伟大的Dapp,他们在普通用户与区块链底层技术中扮演着重要的中间人角色。与此同时,对于普通人接触的最多的web-ui与IPFS,它们之间的安全也值得被探索。

知道创宇区块链安全实验室将对此进行详细解读。

Web-interface与IPFS

1.Web-interface是什么

在Web3.0中,分布式的公链技术设施提供了各种接口供给使用者调用,但这些接口无法直接被普通用户直接去使用。对用户来说,Web-interface是用户和运行在Web服务器上的软件之间的桥梁。用户使用浏览器连接Web-interfacce后进行展示与交互,同时通过钱包进行身份识别。对底层区块链基础设施来说,Web-interface是公链/智能合约的一层封装,将其包装成为友好的页面可直接可用的功能展示给用户。其结构功能类似如下的图片:

2.IPFS是什么

星际文件系统是分布式存储和共享文件的网络传输协议,它将现有的成功系统分布式哈希表、版本控制系统Git、BitTorrent、自认证文件系统与区块链相结合。正是这些系统的综合优势,给IPFS带来了以下显著特性:

1.永久的、去中心化保存和共享文件

2.点对点超媒体:P2P保存各种各样类型的数据

3.版本化:可追溯文件修改历史

4.内容可寻址:通过文件内容生成独立哈希值来标识文件,而不是通过文件保存位置来标识

Celsius向FalconX转入5940万美元的山寨币:金色财经报道,加密货币贷款机构Celsius Network向机构加密货币交易所 FalconX 存入了总计 5940 万美元的山寨币,包括1360万美元的MATIC、1070万美元LINK和730万美元的AAVE 。美国破产法院此前已批准这家加密货币贷款机构从7月份开始出售其持有的山寨币,因此此举可能为了换取比特币和以太坊。

金色财经此前报道,Celsius Network在周一早些时候转移了850万美元的LINK、780万美元的SNX和300万美元的BNB代币,还转移了价值超过100万美元的ZRX、1INCH和黄金稳定币 XAUT。[2023/7/18 11:00:23]

当用户将文件添加到IPFS时,该文件会被拆分为更小的块,经过加密哈希处理并赋予内容标识符CID作为唯一指纹;当其他节点查找该文件时,节点会询问对等节点谁存储了该文件CID引用的内容,当查看、下载这份文件时,他们将缓存一份副本——同时成为该内容的另一个提供者,直到他们的缓存被清除。

IPFS使用实例

网站https://ipfs.io提供一个带UI界面的客户端,安装运行后会启动IPFS的服务,显示当前的节点ID、网关和API地址:

我们导入想上传的文件,上传文件成功后会生成该文件的CID信息,通过QmHash我们也能查找到指定的文件:

由于IPFS是分布式存储和共享文件的网络传输协议,因此上传成功的文件被拷贝到其他节点上后,即使我们本地节点主动删除,依然可以在IPFS网络查询到该文件:

Coinbase:MakerDAO已将5亿美元转移到Coinbase Custody:金色财经报道, Coinbase Institutional发推称,MakerDAO已将 5 亿美元转移到 Coinbase Custody,此举增强稳定币生态系统和DeFi社区能力。[2023/6/6 21:17:35]

IPFS中的传统安全问题

根据使用实例,我们知道IPFS允许上传任意类型的文件,由于允许Web访问下载文件的特性,导致攻击者可以像传统安全一样使用HTML或SVG文件实现钓鱼:

以https://IPFS.io网关为例,上传一个Metamask钓鱼网站,由于存储在受信域名里,受害者访问该文件很可能攻击成功:

但由于IPFS只能通过CID查询文件,使得钓鱼攻击的利用面很窄,没办法定向的实施攻击。既然CID是发起定向攻击的关键,那我们回头研究下CID。

福布斯:以太坊上海升级后将有价值290亿美元的ETH被解锁:2月13日消息,据福布斯报道,根据数据提供商Staking Rewards的数据,目前约有14%的ETH被质押,市值约为290亿美元。而在上海升级后,用户将可以提取这些资产。鉴于资产已被长期锁定以及加密市场悬而未决的不确定性,人们担心许多验证者会撤回并出售他们抵押的以太坊,这可能会给以太坊的价值带来压力。

据Galaxy Digital称,以太坊上至少75%的质押ETH由中介机构控制,例如 Coinbase或Kraken等交易所,或Lido或Rocketpool等特殊平台,这意味着绝大多数抵押者不会能够直接发起自己的取款。预计大部分提款将来自以太坊最大的质押平台Lido,该平台允许用户质押任意数量的以太币,而不是32 ETH的门槛。而Staking Rewards研究主管Allan Wojnowski表示:“排队过程和Lido的大量提款份额将大大减缓提款过程中的任何抛售压力,因为在提现功能存在之前就需要有信心押注以太坊,早期的质押者不太可能寻求退出,而且尽管有报道预测会出现大量提现,但平均每天仍有20,800枚ETH继续质押。”质押中介机构可能会获得巨大收益,摩根大通(JPMorgan)估计,在上海升级后,Coinbase 95%的散户投资者可能会参与质押以太坊,按当前价格计算,这可能会给交易所带来2.25亿至5.45亿美元的年收入。

此前金色财经报道,2月7日以太坊首个公共提款测试网Zhejiang已成功模拟上海升级,公共测试网Sepolia计划于2月28日升级,之后计划在2月底或3月初在以太坊Goerli测试网上发布上海升级,过渡成功后,将转向主网。[2023/2/13 12:03:10]

IPLD是构建IPFS的数据层,它定义了默克尔链接、默克尔有向无环图(Merkle-DAG)和默克尔路径三种数据类型,通过IPLD发送到IPFS的数据保存在链上,使用者会收到一个CID来访问该数据。

CID是一个由Version、Codec和Multihash三部分组成的字符串,目前分成V0和V1两个版本。V0版采用Base58编码生成CID,V1版包含表明内容的编号种类Codec、哈希算法MhType和哈希长度MhLength共同构成:

西班牙电信巨头Telefonica与高通合作开发元宇宙计划:金色财经报道,西班牙电信巨头Telefonica与芯片设计公司商高通签署了合作伙伴关系,以推进联合扩展现实和元宇宙计划。Telefonica将使用高通公司的一项新技术 Snapdragon Spaces 为其客户带来这些元宇宙体验,该协议还包括寻求联合商业机会的可能性。[2022/9/27 22:33:25]

`CID::=<multibasetype><cid-version><multicodec><multihash>`

我们以go-cid生成一组CID测试:

packagemain

import(

"fmt"

mc"github.com/multiformats/go-multicodec"

mh"github.com/multiformats/go-multihash"

cid"github.com/ipfs/go-cid"

)

const(

File="./go.sum"

)

funcmain(){

pref:=cid.Prefix{

Version:0,

Codec:mc.Raw,

MhType:mh.Base58,

MhLength:-1,

}

c,err:=pref.Sum(byte("CIDTest"))

iferr!=nil{...}

fmt.Println("CID:",c)

}

可以看到在生成CID的过程中,无法实现结果的预测和更换,我们再往上分析上传文件的部分。将文件上传到IPFS,通过块的方式保存到本地blockstore的过程位于/go-ipfs-master/core/commands/add.go:

三箭资本清算人可能会强制创始人提供更多信息:金色财经消息,三箭资本(Three Arrows Capital)清算人的律师Adam Goldberg在破产听证会上代表清算人表示,Three Arrows Capital创始人Zhu Su和Kyle Davies迄今为止就该基金的资产提供了“相当有选择性且零碎的信息”。Adam Goldberg表示,如果没有进一步的合作,将尝试在破产法官协助下迫使创始人提供更多信息。(彭博社)[2022/7/29 2:45:08]

typeAddEventstruct{

Namestring

Hashstring`json:",omitempty"`

Bytesint64`json:",omitempty"`

Sizestring`json:",omitempty"`

}

const(

quietOptionName="quiet"

quieterOptionName="quieter"

silentOptionName="silent"

progressOptionName="progress"

trickleOptionName="trickle"

wrapOptionName="wrap-with-directory"

onlyHashOptionName="only-hash"

chunkerOptionName="chunker"

pinOptionName="pin"

rawLeavesOptionName="raw-leaves"

noCopyOptionName="nocopy"

fstoreCacheOptionName="fscache"

cidVersionOptionName="cid-version"

hashOptionName="hash"

inlineOptionName="inline"

inlineLimitOptionName="inline-limit"

)

把上传文件信息保存到AddEvent对象中,再通过/go-ipfs-master/core/coreunix/add.go里的addALLAndPin和fileAdder.AddFile方法遍历文件路径,读取文件内容,将数据送入块中:

func(adder*Adder)AddAllAndPin(ctxcontext.Context,filefiles.Node)(ipld.Node,error){

ctx,span:=tracing.Span(ctx,"CoreUnix.Adder","AddAllAndPin")

deferspan.End()

ifadder.Pin{//knownsec如果被锁定

adder.unlocker=adder.gcLocker.PinLock(ctx)

}

deferfunc(){

ifadder.unlocker!=nil{

adder.unlocker.Unlock(ctx)

}

}()

iferr:=adder.addFileNode(ctx,"",file,true);err!=nil{

returnnil,err

}

mr,err:=adder.mfsRoot()

iferr!=nil{

returnnil,err

}

varrootmfs.FSNode

rootdir:=mr.GetDirectory()//knownsec获取路径

root=rootdir

err=root.Flush()

iferr!=nil{

returnnil,err

}

_,dir:=file.(files.Directory)

varnamestring

if!dir{

children,err:=rootdir.ListNames(adder.ctx)//knownsec展示当前路径文件名

iferr!=nil{

returnnil,err

}

iflen(children)==0{

returnnil,fmt.Errorf("expectedatleastonechilddir,gotnone")

}

name=children

root,err=rootdir.Child(name)

iferr!=nil{

returnnil,err

}

}

err=mr.Close()

iferr!=nil{

returnnil,err

}

nd,err:=root.GetNode()

iferr!=nil{

returnnil,err

}

err=adder.outputDirs(name,root)

iferr!=nil{

returnnil,err

}

ifasyncDagService,ok:=adder.dagService.(syncer);ok{

err=asyncDagService.Sync()

iferr!=nil{

returnnil,err

}

}

if!adder.Pin{

returnnd,nil

}

returnnd,adder.PinRoot(ctx,nd)

}

最后再利用addFile函数完成文件的上传:

func(adder*Adder)addFile(pathstring,filefiles.File)error{

varreaderio.Reader=file

ifadder.Progress{

rdr:=&progressReader{file:reader,path:path,out:adder.Out}//knonwsec按字节读取文件

iffi,ok:=file.(files.FileInfo);ok{

reader=&progressReader2{rdr,fi}

}else{

reader=rdr

}

}

dagnode,err:=adder.add(reader)//knownsec添加上传文件

iferr!=nil{

returnerr

}

returnadder.addNode(dagnode,path)

}

分析代码发现,IPFS在打包文件上传返回CID的整个过程,都没实现劫持的可能,而成功上传的文件无法实现修改其内容,同样无法实现篡改:

后记

Web3建立在区块链技术之上,无需中央机构即可维护。其允许用户在互联网上保护他们的数据,并允许网络平台的去中心化。而IPFS技术对他来说就如同一台电脑的硬盘,web-ui就如同主机的显示器一样不可或缺,其间亦存在着复杂而多样的安全风险可能给予不法分子可乘之机,理解其风险并避免发生问题是每一位Web3从业人员的责任与义务。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-1:457ms