比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > USDT > Info

創宇區塊鏈:傳統安全與IPFS間的安全性研究-ODAILY_NAM

Author:

Time:1900/1/1 0:00:00

前言

通信技術讓世界具備了更多的連接,我們每個人都在這樣的連接中被影響和受益著。同時這種連接也產生了更多對于監視需求的便利。許多人的隱私或自由可能會在不經意間受到影響,而這也催生了對于隱私保護的需求。通常,由于中心化服務器的存在,我們很難實現完整的隱私保護,而分布式的存儲等技術,則讓其成為了可能。

無數的開發者加入了Web3的開發實現中,陸續構建一個又一個偉大的Dapp,他們在普通用戶與區塊鏈底層技術中扮演著重要的中間人角色。與此同時,對于普通人接觸的最多的web-ui與IPFS,它們之間的安全也值得被探索。

知道創宇區塊鏈安全實驗室將對此進行詳細解讀。

Web-interface與IPFS

1.Web-interface是什么

在Web3.0中,分布式的公鏈技術設施提供了各種接口供給使用者調用,但這些接口無法直接被普通用戶直接去使用。對用戶來說,Web-interface是用戶和運行在Web服務器上的軟件之間的橋梁。用戶使用瀏覽器連接Web-interfacce后進行展示與交互,同時通過錢包進行身份識別。對底層區塊鏈基礎設施來說,Web-interface是公鏈/智能合約的一層封裝,將其包裝成為友好的頁面可直接可用的功能展示給用戶。其結構功能類似如下的圖片:

2.IPFS是什么

星際文件系統是分布式存儲和共享文件的網絡傳輸協議,它將現有的成功系統分布式哈希表、版本控制系統Git、BitTorrent、自認證文件系統與區塊鏈相結合。正是這些系統的綜合優勢,給IPFS帶來了以下顯著特性:

1.永久的、去中心化保存和共享文件

2.點對點超媒體:P2P保存各種各樣類型的數據

3.版本化:可追溯文件修改歷史

非托管加密錢包MPCVault管理的資產已超過5億美元:金色財經報道,非托管、多簽的加密錢包MPCVault自1月份推出多重簽名錢包服務以來,這家初創公司管理的資產已超過 5 億美元,轉移的資產已超過 10 億美元。MPCVault 于 2022 年 3 月完成了 300 萬美元的種子融資,此前從未披露過這一輪融資。[2023/8/10 16:17:41]

4.內容可尋址:通過文件內容生成獨立哈希值來標識文件,而不是通過文件保存位置來標識

當用戶將文件添加到IPFS時,該文件會被拆分為更小的塊,經過加密哈希處理并賦予內容標識符CID作為唯一指紋;當其他節點查找該文件時,節點會詢問對等節點誰存儲了該文件CID引用的內容,當查看、下載這份文件時,他們將緩存一份副本——同時成為該內容的另一個提供者,直到他們的緩存被清除。

IPFS使用實例

網站https://ipfs.io提供一個帶UI界面的客戶端,安裝運行后會啟動IPFS的服務,顯示當前的節點ID、網關和API地址:

我們導入想上傳的文件,上傳文件成功后會生成該文件的CID信息,通過QmHash我們也能查找到指定的文件:

由于IPFS是分布式存儲和共享文件的網絡傳輸協議,因此上傳成功的文件被拷貝到其他節點上后,即使我們本地節點主動刪除,依然可以在IPFS網絡查詢到該文件:

IPFS中的傳統安全問題

根據使用實例,我們知道IPFS允許上傳任意類型的文件,由于允許Web訪問下載文件的特性,導致攻擊者可以像傳統安全一樣使用HTML或SVG文件實現釣魚:

CF Private Equity準備推出區塊鏈專用基金,預計籌款1億美元:金色財經報道,根據8月初向SEC提交的文件,CF Private Equity正準備推出其首個區塊鏈專用基金,該基金名為CF Blockchain Ventures LP,在文件中被指定為私募股權基金,而不是風險投資基金。該基金的備案文件顯示預計籌款額為1億美元,但所披露的數字可能僅與該基金的首次交割有關,該公司發言人拒絕置評。

據悉,該公司監管風險投資和私募股權投資,有限合伙人包括美國捐贈基金和基金會。在為CF Blockchain Ventures LP融資時,該公司選擇了Commonfund Securities(一家同樣在其母公司支持下的經紀自營商)以及一家日本和一家智利銀行。據其網站稱,CF Private Equity自2018年以來已完成10多項區塊鏈投資,旨在“構建高質量的區塊鏈專業經理人投資組合”。[2023/8/8 21:30:54]

以https://IPFS.io網關為例,上傳一個Metamask釣魚網站,由于存儲在受信域名里,受害者訪問該文件很可能攻擊成功:

但由于IPFS只能通過CID查詢文件,使得釣魚攻擊的利用面很窄,沒辦法定向的實施攻擊。既然CID是發起定向攻擊的關鍵,那我們回頭研究下CID。

IPLD是構建IPFS的數據層,它定義了默克爾鏈接、默克爾有向無環圖(Merkle-DAG)和默克爾路徑三種數據類型,通過IPLD發送到IPFS的數據保存在鏈上,使用者會收到一個CID來訪問該數據。

蘇富比將于12月13日拍賣另一幅私人手中僅存的第一版美國憲法副本:11月2日消息,蘇富比宣布將于12月13日拍賣另一幅私人手中僅存的第一版美國憲法副本,拍賣前該憲法副本將于11月4日至22日在蘇富比約克大道畫廊公開展出,11月30日至12月12日在紐約再次展出。本次拍賣的憲法副本,最后一次出現在1894年的費城拍賣會上,此次拍賣是125年以來首次拍賣,估價為20/30萬美元。

據悉,該副本為美國制憲會議和大陸會議代表制作的僅有的13份官方印刷品之一,其中11份被著名的機構和政府收藏,另一份副本在去年11月進行了拍賣。當時,ConstitutionDAO為贏得拍賣,從1.7萬名貢獻者手中籌集了超過4000萬美元的以太坊,最終該副本被Citadel的創始人兼首席執行官KennethGriffin以4320萬美元拍下。[2022/11/2 12:08:46]

CID是一個由Version、Codec和Multihash三部分組成的字符串,目前分成V0和V1兩個版本。V0版采用Base58編碼生成CID,V1版包含表明內容的編號種類Codec、哈希算法MhType和哈希長度MhLength共同構成:

`CID::=<multibasetype><cid-version><multicodec><multihash>`

我們以go-cid生成一組CID測試:

packagemain

import(

"fmt"

mc"github.com/multiformats/go-multicodec"

mh"github.com/multiformats/go-multihash"

cid"github.com/ipfs/go-cid"

)

const(

Selini Capital:合并后以太坊的質押收益率將低于預期:金色財經報道,Selini Capital SIO Jordi Alexander根據當前數據發布了他對以太坊2023年質押收益率的預測。該預測稱,“根據以太坊網絡上當前的活動,合并后以太坊的質押收益率將低于預期”。[2022/9/11 13:22:00]

File="./go.sum"

)

funcmain(){

pref:=cid.Prefix{

Version:0,

Codec:mc.Raw,

MhType:mh.Base58,

MhLength:-1,

}

c,err:=pref.Sum(byte("CIDTest"))

iferr!=nil{...}

fmt.Println("CID:",c)

}

可以看到在生成CID的過程中,無法實現結果的預測和更換,我們再往上分析上傳文件的部分。將文件上傳到IPFS,通過塊的方式保存到本地blockstore的過程位于/go-ipfs-master/core/commands/add.go:

typeAddEventstruct{

Namestring

Hashstring`json:",omitempty"`

Bytesint64`json:",omitempty"`

Sizestring`json:",omitempty"`

}

const(

quietOptionName="quiet"

《富爸爸窮爸爸》作者:正在等待時機以現金買入比特幣:7月15日消息,暢銷書《富爸爸窮爸爸》作者羅伯特·清崎(Robert Kiyosaki)在近日接受采訪中表示,資產價格正在暴跌,他正等待以現金頭寸買入包括比特幣在內的特價商品。

羅伯特·清崎于 2021 年表示,隨著通貨膨脹的升級,他將購買更多的黃金、白銀、比特幣、以太坊、租賃房地產和石油,并預測美國正在陷入衰退。[2022/7/15 2:14:48]

quieterOptionName="quieter"

silentOptionName="silent"

progressOptionName="progress"

trickleOptionName="trickle"

wrapOptionName="wrap-with-directory"

onlyHashOptionName="only-hash"

chunkerOptionName="chunker"

pinOptionName="pin"

rawLeavesOptionName="raw-leaves"

noCopyOptionName="nocopy"

fstoreCacheOptionName="fscache"

cidVersionOptionName="cid-version"

hashOptionName="hash"

inlineOptionName="inline"

inlineLimitOptionName="inline-limit"

)

把上傳文件信息保存到AddEvent對象中,再通過/go-ipfs-master/core/coreunix/add.go里的addALLAndPin和fileAdder.AddFile方法遍歷文件路徑,讀取文件內容,將數據送入塊中:

func(adder*Adder)AddAllAndPin(ctxcontext.Context,filefiles.Node)(ipld.Node,error){

ctx,span:=tracing.Span(ctx,"CoreUnix.Adder","AddAllAndPin")

deferspan.End()

ifadder.Pin{//knownsec如果被鎖定

adder.unlocker=adder.gcLocker.PinLock(ctx)

}

deferfunc(){

ifadder.unlocker!=nil{

adder.unlocker.Unlock(ctx)

}

}()

iferr:=adder.addFileNode(ctx,"",file,true);err!=nil{

returnnil,err

}

mr,err:=adder.mfsRoot()

iferr!=nil{

returnnil,err

}

varrootmfs.FSNode

rootdir:=mr.GetDirectory()//knownsec獲取路徑

root=rootdir

err=root.Flush()

iferr!=nil{

returnnil,err

}

_,dir:=file.(files.Directory)

varnamestring

if!dir{

children,err:=rootdir.ListNames(adder.ctx)//knownsec展示當前路徑文件名

iferr!=nil{

returnnil,err

}

iflen(children)==0{

returnnil,fmt.Errorf("expectedatleastonechilddir,gotnone")

}

name=children

root,err=rootdir.Child(name)

iferr!=nil{

returnnil,err

}

}

err=mr.Close()

iferr!=nil{

returnnil,err

}

nd,err:=root.GetNode()

iferr!=nil{

returnnil,err

}

err=adder.outputDirs(name,root)

iferr!=nil{

returnnil,err

}

ifasyncDagService,ok:=adder.dagService.(syncer);ok{

err=asyncDagService.Sync()

iferr!=nil{

returnnil,err

}

}

if!adder.Pin{

returnnd,nil

}

returnnd,adder.PinRoot(ctx,nd)

}

最后再利用addFile函數完成文件的上傳:

func(adder*Adder)addFile(pathstring,filefiles.File)error{

varreaderio.Reader=file

ifadder.Progress{

rdr:=&progressReader{file:reader,path:path,out:adder.Out}//knonwsec按字節讀取文件

iffi,ok:=file.(files.FileInfo);ok{

reader=&progressReader2{rdr,fi}

}else{

reader=rdr

}

}

dagnode,err:=adder.add(reader)//knownsec添加上傳文件

iferr!=nil{

returnerr

}

returnadder.addNode(dagnode,path)

}

分析代碼發現,IPFS在打包文件上傳返回CID的整個過程,都沒實現劫持的可能,而成功上傳的文件無法實現修改其內容,同樣無法實現篡改:

后記

Web3建立在區塊鏈技術之上,無需中央機構即可維護。其允許用戶在互聯網上保護他們的數據,并允許網絡平臺的去中心化。而IPFS技術對他來說就如同一臺電腦的硬盤,web-ui就如同主機的顯示器一樣不可或缺,其間亦存在著復雜而多樣的安全風險可能給予不法分子可乘之機,理解其風險并避免發生問題是每一位Web3從業人員的責任與義務。

Tags:QUOADDNILNAMQUONDADDYDOGEUniLayerZkTsunami

USDT
OKCoinJapan現已正式開啟TRX Flash Deals活動-ODAILY_OKC

據官方消息,OKCoinJapan現已正式開啟TRXFlashDeals活動,年利率高達188%.

1900/1/1 0:00:00
關于JustLend存款挖礦獎勵升級為USDD的公告-ODAILY_SDD

為了促進波場TRON生態健康可持續的發展,TRONDAOReserve和JustLend達成戰略合作關系.

1900/1/1 0:00:00
Bitfinex一周簡報(0606-0612)-ODAILY_FIN

比特幣反彈站上31000美元Bitfinex交易所多頭押注創高度過價格相對平靜的周末之后,比特幣(BTC)在臺北時間周一(6日)開始發力上攻,突破3萬美元關卡上方之后,進一步升破31000美元.

1900/1/1 0:00:00
Tether項目周報(0627-0703)-ODAILY_THE

Tether(USDT)周六獲得中性評級:是時候加入了嗎? 價格水平 過去5天,Tether的交易價格一直在中點附近.

1900/1/1 0:00:00
波場版穩定幣單日轉賬額突破245億美元-ODAILY_穩定幣

據區塊鏈瀏覽器TRONSCAN數據,6月13日,波場版穩定幣單日轉賬額達到24,527,693,095美元,突破245億美元.

1900/1/1 0:00:00
2022年元治理現狀報告-ODAILY_FIN

現今是2022年,元治理活動正迅速成為加密貨幣生態系統的主流;各個DAO也已經意識到,它們可以通過利用其他DAO的技術和資源,達到超強的增長和價值創造的最佳戰略.

1900/1/1 0:00:00
ads