前言
通信技术让世界具备了更多的连接,我们每个人都在这样的连接中被影响和受益着。同时这种连接也产生了更多对于监视需求的便利。许多人的隐私或自由可能会在不经意间受到影响,而这也催生了对于隐私保护的需求。通常,由于中心化服务器的存在,我们很难实现完整的隐私保护,而分布式的存储等技术,则让其成为了可能。
无数的开发者加入了Web3的开发实现中,陆续构建一个又一个伟大的Dapp,他们在普通用户与区块链底层技术中扮演着重要的中间人角色。与此同时,对于普通人接触的最多的web-ui与IPFS,它们之间的安全也值得被探索。
知道创宇区块链安全实验室将对此进行详细解读。
Web-interface与IPFS
1.Web-interface是什么
在Web3.0中,分布式的公链技术设施提供了各种接口供给使用者调用,但这些接口无法直接被普通用户直接去使用。对用户来说,Web-interface是用户和运行在Web服务器上的软件之间的桥梁。用户使用浏览器连接Web-interfacce后进行展示与交互,同时通过钱包进行身份识别。对底层区块链基础设施来说,Web-interface是公链/智能合约的一层封装,将其包装成为友好的页面可直接可用的功能展示给用户。其结构功能类似如下的图片:
2.IPFS是什么
星际文件系统是分布式存储和共享文件的网络传输协议,它将现有的成功系统分布式哈希表、版本控制系统Git、BitTorrent、自认证文件系统与区块链相结合。正是这些系统的综合优势,给IPFS带来了以下显著特性:
1.永久的、去中心化保存和共享文件
2.点对点超媒体:P2P保存各种各样类型的数据
3.版本化:可追溯文件修改历史
Gauntlett建议Aave社区冻结Curve创始人钱包中的CRV抵押品:6月15日消息,DeFi风险管理器Gauntlett向Aave治理社区建议,冻结Curve Finance创始人Michael Egorov钱包地址贷款头寸中的CRV代币。
Gauntlet表示,它检查了有关钱包的风险状况,该钱包严重依赖CRV代币作为抵押品。该账户据与Curve Finance创始人Michael Egorov有关,根据链上数据,该账户将2.88亿个CRV代币(约1.8亿美元)作为抵押品,借入了约6300万美元的USDT。需要注意的是,2.88亿CRV代币占其流通总量的30%以上,为了防止这些代币在交易所的流动性下降而产生坏账,建议冻结。
目前该账户健康系数为1.6,表明没有立即出现坏账风险,但Gauntlet暗示未来可能存在潜在风险。它强调,如果该账户继续使用CRV作为抵押品,未来可能会带来风险,特别是考虑到最近CRV流动性的减少。[2023/6/15 21:37:14]
4.内容可寻址:通过文件内容生成独立哈希值来标识文件,而不是通过文件保存位置来标识
当用户将文件添加到IPFS时,该文件会被拆分为更小的块,经过加密哈希处理并赋予内容标识符CID作为唯一指纹;当其他节点查找该文件时,节点会询问对等节点谁存储了该文件CID引用的内容,当查看、下载这份文件时,他们将缓存一份副本——同时成为该内容的另一个提供者,直到他们的缓存被清除。
IPFS使用实例
网站https://ipfs.io提供一个带UI界面的客户端,安装运行后会启动IPFS的服务,显示当前的节点ID、网关和API地址:
我们导入想上传的文件,上传文件成功后会生成该文件的CID信息,通过QmHash我们也能查找到指定的文件:
SEC调查第一共和国银行高管的内幕交易:金色财经报道,据报道美国证券交易委员会 (SEC) 正在调查 First Republic Bank 高管涉嫌参与内幕交易。消息来源称,证券监管机构正在审查该银行的高管使用机密信息进行交易。尽管消息人士没有透露任何具体受调查个人的姓名,但他们声称美国证券交易委员会正在调查此事。此外,报告显示,美国立法者在这家陷入困境的银行倒闭并被摩根大通收购之前出售了其股票。[2023/5/8 14:49:24]
由于IPFS是分布式存储和共享文件的网络传输协议,因此上传成功的文件被拷贝到其他节点上后,即使我们本地节点主动删除,依然可以在IPFS网络查询到该文件:
IPFS中的传统安全问题
根据使用实例,我们知道IPFS允许上传任意类型的文件,由于允许Web访问下载文件的特性,导致攻击者可以像传统安全一样使用HTML或SVG文件实现钓鱼:
以https://IPFS.io网关为例,上传一个Metamask钓鱼网站,由于存储在受信域名里,受害者访问该文件很可能攻击成功:
但由于IPFS只能通过CID查询文件,使得钓鱼攻击的利用面很窄,没办法定向的实施攻击。既然CID是发起定向攻击的关键,那我们回头研究下CID。
IPLD是构建IPFS的数据层,它定义了默克尔链接、默克尔有向无环图(Merkle-DAG)和默克尔路径三种数据类型,通过IPLD发送到IPFS的数据保存在链上,使用者会收到一个CID来访问该数据。
联合国报告:朝鲜黑客2022年盗取的加密货币为历年最多:2月7日消息,联合国一份机密报告显示,到目前为止,朝鲜黑客在2022年盗取的加密资产比以往任何一年都多。据路透社报道,这份联合国报告已于上周提交给由15名成员组成的朝鲜制裁委员会。
调查发现,去年与朝鲜有关联的黑客盗取了6.3亿美元至10亿多美元的加密资产,并将外国航空航天和国防公司的网络作为攻击目标。
这份联合国报告还指出,网络攻击比前几年更加复杂,使得追踪被盗资金比以往任何时候都更加困难。
独立制裁监督机构在提交给联合国安理会委员会的报告中表示:“(朝鲜)利用日益复杂的网络技术,进入涉及网络金融的数字网络,并窃取有潜在价值的信息,包括对其武器计划的信息。”
此前消息,据区块链分析公司Chainalysis最新报告表示,整体加密货币损失从2021年的33亿美元增至2022年的38亿美元,2022年为有史以来加密货币被盗损失规模最大的一年。其中,DeFi协议损失占黑客窃取的所有加密货币的82.1%(约31亿美元),远高于2021年的73.3%。在这31亿美元中,64%来自跨链桥接协议。此外,朝鲜网络犯罪集团Lazarus Group于2022年共窃取价值约17亿美元的加密货币,创历史纪录。(Cointelegraph)[2023/2/7 11:51:56]
CID是一个由Version、Codec和Multihash三部分组成的字符串,目前分成V0和V1两个版本。V0版采用Base58编码生成CID,V1版包含表明内容的编号种类Codec、哈希算法MhType和哈希长度MhLength共同构成:
`CID::=<multibasetype><cid-version><multicodec><multihash>`
我们以go-cid生成一组CID测试:
packagemain
import(
"fmt"
Peckshield:一巨鲸地址从币安提取1050万枚USDT后存入AAVE:1月18日消息,据PeckShield监测显示,以0xe421开头的巨鲸地址从币安提取1050万枚USDT,后将其存入AAVE中。[2023/1/18 11:18:43]
mc"github.com/multiformats/go-multicodec"
mh"github.com/multiformats/go-multihash"
cid"github.com/ipfs/go-cid"
)
const(
File="./go.sum"
)
funcmain(){
pref:=cid.Prefix{
Version:0,
Codec:mc.Raw,
MhType:mh.Base58,
MhLength:-1,
}
c,err:=pref.Sum(byte("CIDTest"))
iferr!=nil{...}
fmt.Println("CID:",c)
}
可以看到在生成CID的过程中,无法实现结果的预测和更换,我们再往上分析上传文件的部分。将文件上传到IPFS,通过块的方式保存到本地blockstore的过程位于/go-ipfs-master/core/commands/add.go:
typeAddEventstruct{
Namestring
Hashstring`json:",omitempty"`
美国银行:预计欧洲央行2022年至少进行两次50个基点的加息:6月3日消息,美国银行预计欧洲央行将在7月和9月加息50个基点,然后在10月和12月分别再加息25个基点。这一预测比经济学家的共识要鹰派得多。美国银行经济学家们表示,坚信2022年将加息150个基点,但对加息50个基点的确切时间没有那么确信;预计欧洲央行将在2023年停止加息。此前预测为今年加息四次,明年加息两次。经济学家们指出,他们担心欧洲央行“行动得太多/太快,对经济增长、息差或两者都造成了问题。”并表示,尽管他们预测是鹰派的,但仍看空宏观前景。(金十)[2022/6/3 4:01:04]
Bytesint64`json:",omitempty"`
Sizestring`json:",omitempty"`
}
const(
quietOptionName="quiet"
quieterOptionName="quieter"
silentOptionName="silent"
progressOptionName="progress"
trickleOptionName="trickle"
wrapOptionName="wrap-with-directory"
onlyHashOptionName="only-hash"
chunkerOptionName="chunker"
pinOptionName="pin"
rawLeavesOptionName="raw-leaves"
noCopyOptionName="nocopy"
fstoreCacheOptionName="fscache"
cidVersionOptionName="cid-version"
hashOptionName="hash"
inlineOptionName="inline"
inlineLimitOptionName="inline-limit"
)
把上传文件信息保存到AddEvent对象中,再通过/go-ipfs-master/core/coreunix/add.go里的addALLAndPin和fileAdder.AddFile方法遍历文件路径,读取文件内容,将数据送入块中:
func(adder*Adder)AddAllAndPin(ctxcontext.Context,filefiles.Node)(ipld.Node,error){
ctx,span:=tracing.Span(ctx,"CoreUnix.Adder","AddAllAndPin")
deferspan.End()
ifadder.Pin{//knownsec如果被锁定
adder.unlocker=adder.gcLocker.PinLock(ctx)
}
deferfunc(){
ifadder.unlocker!=nil{
adder.unlocker.Unlock(ctx)
}
}()
iferr:=adder.addFileNode(ctx,"",file,true);err!=nil{
returnnil,err
}
mr,err:=adder.mfsRoot()
iferr!=nil{
returnnil,err
}
varrootmfs.FSNode
rootdir:=mr.GetDirectory()//knownsec获取路径
root=rootdir
err=root.Flush()
iferr!=nil{
returnnil,err
}
_,dir:=file.(files.Directory)
varnamestring
if!dir{
children,err:=rootdir.ListNames(adder.ctx)//knownsec展示当前路径文件名
iferr!=nil{
returnnil,err
}
iflen(children)==0{
returnnil,fmt.Errorf("expectedatleastonechilddir,gotnone")
}
name=children
root,err=rootdir.Child(name)
iferr!=nil{
returnnil,err
}
}
err=mr.Close()
iferr!=nil{
returnnil,err
}
nd,err:=root.GetNode()
iferr!=nil{
returnnil,err
}
err=adder.outputDirs(name,root)
iferr!=nil{
returnnil,err
}
ifasyncDagService,ok:=adder.dagService.(syncer);ok{
err=asyncDagService.Sync()
iferr!=nil{
returnnil,err
}
}
if!adder.Pin{
returnnd,nil
}
returnnd,adder.PinRoot(ctx,nd)
}
最后再利用addFile函数完成文件的上传:
func(adder*Adder)addFile(pathstring,filefiles.File)error{
varreaderio.Reader=file
ifadder.Progress{
rdr:=&progressReader{file:reader,path:path,out:adder.Out}//knonwsec按字节读取文件
iffi,ok:=file.(files.FileInfo);ok{
reader=&progressReader2{rdr,fi}
}else{
reader=rdr
}
}
dagnode,err:=adder.add(reader)//knownsec添加上传文件
iferr!=nil{
returnerr
}
returnadder.addNode(dagnode,path)
}
分析代码发现,IPFS在打包文件上传返回CID的整个过程,都没实现劫持的可能,而成功上传的文件无法实现修改其内容,同样无法实现篡改:
后记
Web3建立在区块链技术之上,无需中央机构即可维护。其允许用户在互联网上保护他们的数据,并允许网络平台的去中心化。而IPFS技术对他来说就如同一台电脑的硬盘,web-ui就如同主机的显示器一样不可或缺,其间亦存在着复杂而多样的安全风险可能给予不法分子可乘之机,理解其风险并避免发生问题是每一位Web3从业人员的责任与义务。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。