簡析 IPFS 監管風險：內容風險或由礦工承擔_SPT

內容風險是存儲系統的主要法律風險，但短期內無需過度擔心。

原文標題：《數據合規||IPFS，一場平臺到礦工的風險轉移？》來源：火小律

IPFS/Filecoin測試如火如荼的進行，越來越多的人開始擔心IPFS合規性問題，去中心化存儲會不會和國內網絡監管、數據安全政策沖突而腰斬？

火小律的觀點是，短期內無需過度擔心。項目太年輕，未來發展不確定性較多，需要時間發酵。監管不會過早出手。比特幣2008年問世，2013年監管第一次重視，威震業界的94文件更是2017年才發布，前后相差近10年。

關于去中心化分布式存儲，想要長久持續規模化發展，有些問題還需盡早考慮。本文僅根據現有官方消息及相關測試等情況，主要從礦工角度就法律合規問題做適當探討。

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

傳統云存儲服務商的常見風險

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

討論IPFS法律合規風險，不得不先了解傳統云存儲的法律風險。

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

傳統的云存儲，也就是中心化云存儲，風險一般由云存儲服務商，即平臺承擔。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

除卻常規的許可證申請等必備程序事項，最常見的2項風險，一項是數據合規風險，一項是侵權風險。

數據合規風險，目前更多的還是針對個人信息的保護，涉及數據收集、使用、存儲、流動、刪除、跨境等多個環節的合規要求。核心是避免不必要的采集和防止泄露，而數據出境，即數據的跨國流動則需滿足更高的要求。

侵權風險，主要指存儲內容涉嫌侵犯他人知識產權時，平臺應采取哪些合理措施以免責。一般情況遵循「通知-刪除」規則，即當平臺接到用戶侵權通知后，需及時采取刪除、屏蔽、斷開鏈接等必要措施，若失職導致損害擴大，需對擴大部分承擔連帶責任。但針對阿里云等Iaas服務商，并不適用上述規則。主要還是根據服務商具體的服務性質、服務內容以及是否存在衍生性技術服務等綜合判定，法律上較為復雜，這里就不展開了。

一場平臺到礦工的風險轉移？

縱觀IPFS白皮書，剖開所有的修飾詞和特征，核心還是云存儲，只是采用分布式的方式，即提供具體存儲服務的從平臺換成了個人。

由此產生2個問題。

第一，信息自由存儲是否意味著無需滿足監管要求？

顯然不是。一切只有在合規的要求下才能長久有序的發展，這個道理大家都明白，無需多說。

既然需在監管框架下運行，為何開篇又說暫時無需擔心可能的監管沖突？這是個「短期」vs「長期」的問題。現實的說，實務中監管無法滲透到方方面面，即便是已然成熟的行業，也難免有缺失和滯后，更何況是短期內未成氣候的。

第二，分布式存儲是否意味著平臺責任轉移至個人？

某種程度上是的。根據現有信息及測試網運行情況，無論存儲或是檢索，礦工均是有償服務。而這一過程中平臺并不撮合交易，一切由用戶和礦工自行溝通。既然是收費服務，又不受平臺過多干涉，具備較強的自主性，那么享有利益的同時自然也承擔一定的責任。

礦工可能面對的主要風險

鑒于項目存有變數，目前仍處于測試期間，只能籠統分析基礎風險。

對絕大多數礦工而言，擔心的應該是，會不會挖到一半，整個項目被政府叫停，自己的投資和付出打了水漂。這方面短期內無需過多擔心。技術是中立的，可以將整個項目理解為有償存儲業務，FIL幣視為類似游戲代幣，供存儲檢索消耗使用。單純的內循環模式運作，只要不被大量用作違法犯罪事項，不涉及人民幣虛擬貨幣兌換事項，被突然叫停的可能性并不大。

回歸法律風險，對于一個存儲系統，最關鍵的還是「內容風險」。

存儲普通合法內容，自然什么問題沒有。若是違法內容或者敏感內容，則風險系數直線上升。

敏感內容主要集中在2類，個人信息商業秘密；違法內容，涉及2層，第1層是非法內容，例如涉黃涉暴危恐等法律明文禁止的內容；第2層是潛在的違法內容，例如侵犯他人著作權等相關知識產權的內容。

無論是官宣的碎片式加密存儲，或是測試網的整份存儲，礦工的風險基本都集中在存儲、傳播、保管三件事上。

例如，存儲時，是否知道或者有合理依據判斷屬于非法內容等？又如，明知涉隱私內容或不良內容，是否存在主動傳播的行為等？再如，保存過程中是否未盡合理義務導致數據丟失或外泄等？這些都是可能的風險，不同的情況觸發不同的責任，還需結合業務環境具體分析。

IPFS將走向何方？

一直困擾火小律這個圈外人的疑問。

IPFS作為一個存儲系統，最終落地場景是哪些領域？單純依靠「去中心化」的信仰，是否可以吸引足夠的現實的存儲用戶？用戶舍棄已有的云存儲品牌服務商，選擇IPFS的核心原因是什么？

如果不能切實接地氣的回答以上問題，談監管談合規化，真心為時尚早。

官方的太空競賽2主要針對存儲用戶和開發人員，基本的用戶身份審核后，期望用戶攜帶真實、有價值和可用的數據進場，包括但不限于應用程序數據或數據集合。只有匯集更多優質、有價值的數據，才能盤活項目，提升項目含金量。

試想，比特幣誕生后，作為虛擬貨幣的一種，只要不威脅到主權貨幣的地位，合規未必會成為難題。Libra2.0的妥協便是很好的例證。為什么發展至今，幣價居高不下，炒幣客已然遍布全國，仍不受監管待見？答案恐怕只能是幾乎所有人心照不宣的「洗錢」問題。

當一個項目，即使是像IPFS這樣當年的金牌項目，如果充斥著大量垃圾無效違規內容，被頻繁用于違法犯罪活動，想不被叫停也難了。互金便是例證，只剩黯淡退出的結局。

IPFS將走向何方？只有項目本身和參與者才能給出最終的答案。

Tags：BNBWBNBSPTSWAPbnbx幣行情wbnb是騙局嗎TSPT價格TreeSwap

波場