前言
通信技術讓世界具備了更多的連接,我們每個人都在這樣的連接中被影響和受益著。同時這種連接也產生了更多對于監視需求的便利。許多人的隱私或自由可能會在不經意間受到影響,而這也催生了對于隱私保護的需求。通常,由于中心化服務器的存在,我們很難實現完整的隱私保護,而分布式的存儲等技術,則讓其成為了可能。
無數的開發者加入了Web3的開發實現中,陸續構建一個又一個偉大的Dapp,他們在普通用戶與區塊鏈底層技術中扮演著重要的中間人角色。與此同時,對于普通人接觸的最多的web-ui與IPFS,它們之間的安全也值得被探索。
知道創宇區塊鏈安全實驗室將對此進行詳細解讀。
Web-interface與IPFS
1.Web-interface是什么
在Web3.0中,分布式的公鏈技術設施提供了各種接口供給使用者調用,但這些接口無法直接被普通用戶直接去使用。對用戶來說,Web-interface是用戶和運行在Web服務器上的軟件之間的橋梁。用戶使用瀏覽器連接Web-interfacce后進行展示與交互,同時通過錢包進行身份識別。對底層區塊鏈基礎設施來說,Web-interface是公鏈/智能合約的一層封裝,將其包裝成為友好的頁面可直接可用的功能展示給用戶。其結構功能類似如下的圖片:
2.IPFS是什么
星際文件系統是分布式存儲和共享文件的網絡傳輸協議,它將現有的成功系統分布式哈希表、版本控制系統Git、BitTorrent、自認證文件系統與區塊鏈相結合。正是這些系統的綜合優勢,給IPFS帶來了以下顯著特性:
1.永久的、去中心化保存和共享文件
2.點對點超媒體:P2P保存各種各樣類型的數據
3.版本化:可追溯文件修改歷史
Maple Finance計劃推出美國國債借貸池:金色財經報道,加密借貸協議 Maple Finance 首席執行官 Sid Powell 在周二的協議社區電話會議上表示,Maple Finance 正準備推出一個投資于美國國債的借貸池,Maple 的資金池將允許美國境外的合格投資者和公司國債投資鏈上的美國國債。Powell還表示,Maple 計劃在今年晚些時候就其原生代幣 MPL 的新代幣經濟學和實用性舉行一次社區投票。
根據DefiLlama的數據,該協議的總鎖倉價值 (TVL) 從去年 5 月的 9.3 億美元降至 4000 萬美元。MPL 代幣從去年 4 月的歷史高點 68.2 美元暴跌至 4 美元。[2023/4/12 13:57:33]
4.內容可尋址:通過文件內容生成獨立哈希值來標識文件,而不是通過文件保存位置來標識
當用戶將文件添加到IPFS時,該文件會被拆分為更小的塊,經過加密哈希處理并賦予內容標識符CID作為唯一指紋;當其他節點查找該文件時,節點會詢問對等節點誰存儲了該文件CID引用的內容,當查看、下載這份文件時,他們將緩存一份副本——同時成為該內容的另一個提供者,直到他們的緩存被清除。
IPFS使用實例
網站https://ipfs.io提供一個帶UI界面的客戶端,安裝運行后會啟動IPFS的服務,顯示當前的節點ID、網關和API地址:
我們導入想上傳的文件,上傳文件成功后會生成該文件的CID信息,通過QmHash我們也能查找到指定的文件:
由于IPFS是分布式存儲和共享文件的網絡傳輸協議,因此上傳成功的文件被拷貝到其他節點上后,即使我們本地節點主動刪除,依然可以在IPFS網絡查詢到該文件:
Web3協作平臺Dmail與ChatGPT整合,并推出AI郵件助手服務:2月24日消息,Web3協作平臺Dmail宣布與ChatGPT整合,并推出AI郵件助手服務,正式進軍AIGC領域。用戶輸入想寫的內容,ChatGPT會幫寫郵件。每個用戶都可以免費試用10次。[2023/2/24 12:27:17]
IPFS中的傳統安全問題
根據使用實例,我們知道IPFS允許上傳任意類型的文件,由于允許Web訪問下載文件的特性,導致攻擊者可以像傳統安全一樣使用HTML或SVG文件實現釣魚:
以https://IPFS.io網關為例,上傳一個Metamask釣魚網站,由于存儲在受信域名里,受害者訪問該文件很可能攻擊成功:
但由于IPFS只能通過CID查詢文件,使得釣魚攻擊的利用面很窄,沒辦法定向的實施攻擊。既然CID是發起定向攻擊的關鍵,那我們回頭研究下CID。
IPLD是構建IPFS的數據層,它定義了默克爾鏈接、默克爾有向無環圖(Merkle-DAG)和默克爾路徑三種數據類型,通過IPLD發送到IPFS的數據保存在鏈上,使用者會收到一個CID來訪問該數據。
CID是一個由Version、Codec和Multihash三部分組成的字符串,目前分成V0和V1兩個版本。V0版采用Base58編碼生成CID,V1版包含表明內容的編號種類Codec、哈希算法MhType和哈希長度MhLength共同構成:
Web3電商平臺NFTically完成100萬美元股權融資:2月7日消息,Web3 電商平臺 NFTically 宣布完成 100 萬美元股權融資,Spartan Group 和 Polygon Ventures 領投,Blockchain Founders Capital、Blockchain Founders Fund、Mafatlal 家族辦公室和寶萊塢制片人 Subhash Ghai 參投。
NFTically 已集成 Shopify、Mixpanel、Mailchimp、Zapier 等電商業務,該公司計劃利用新資金加速構建其游戲化社交電子商務元宇宙平臺 COMEARTH。[2023/2/7 11:52:33]
`CID::=<multibasetype><cid-version><multicodec><multihash>`
我們以go-cid生成一組CID測試:
packagemain
import(
"fmt"
mc"github.com/multiformats/go-multicodec"
mh"github.com/multiformats/go-multihash"
cid"github.com/ipfs/go-cid"
)
const(
File="./go.sum"
)
funcmain(){
pref:=cid.Prefix{
Version:0,
Codec:mc.Raw,
MhType:mh.Base58,
MhLength:-1,
以太坊鏈上USDC發行量跌破400億美元關口:金色財經報道,據usdccool最新數據顯示,以太坊鏈上USDC發行量已跌破400億美元關口,本文撰寫時為39,994,599,107.73美元。當前USDC總發行量已下降至423.2億美元,除以太坊之外,發行量排名前三的區塊鏈分別是波場(約12.64億美元)和Avalanche(約8.57億美元)。[2022/10/19 17:31:56]
}
c,err:=pref.Sum(byte("CIDTest"))
iferr!=nil{...}
fmt.Println("CID:",c)
}
可以看到在生成CID的過程中,無法實現結果的預測和更換,我們再往上分析上傳文件的部分。將文件上傳到IPFS,通過塊的方式保存到本地blockstore的過程位于/go-ipfs-master/core/commands/add.go:
typeAddEventstruct{
Namestring
Hashstring`json:",omitempty"`
Bytesint64`json:",omitempty"`
Sizestring`json:",omitempty"`
}
const(
quietOptionName="quiet"
quieterOptionName="quieter"
silentOptionName="silent"
progressOptionName="progress"
trickleOptionName="trickle"
韓國檢方傳喚了Terra的核心設計人員并采取禁止出境措施:6月20日消息,據JTBC報道,負責調查Terra事件的韓國首爾南部地方檢察廳金融證券犯罪聯合調查組最近對Terra的核心設計師A某等下達了禁止出境措施,并發出了傳喚通報。
早些時候,A某曾在接受JTBC采訪時聲稱,他從Do Kwon那里聽說,Do Kwon“賺了足夠買一個島的錢”。他還向記者表示,Do Kwon偷偷拿代幣賣給機構,以籌集巨額資金。檢方正在關注以這種方式籌集的資金是否用于人為抬高幣價的“市場調價”。[2022/6/20 4:40:30]
wrapOptionName="wrap-with-directory"
onlyHashOptionName="only-hash"
chunkerOptionName="chunker"
pinOptionName="pin"
rawLeavesOptionName="raw-leaves"
noCopyOptionName="nocopy"
fstoreCacheOptionName="fscache"
cidVersionOptionName="cid-version"
hashOptionName="hash"
inlineOptionName="inline"
inlineLimitOptionName="inline-limit"
)
把上傳文件信息保存到AddEvent對象中,再通過/go-ipfs-master/core/coreunix/add.go里的addALLAndPin和fileAdder.AddFile方法遍歷文件路徑,讀取文件內容,將數據送入塊中:
func(adder*Adder)AddAllAndPin(ctxcontext.Context,filefiles.Node)(ipld.Node,error){
ctx,span:=tracing.Span(ctx,"CoreUnix.Adder","AddAllAndPin")
deferspan.End()
ifadder.Pin{//knownsec如果被鎖定
adder.unlocker=adder.gcLocker.PinLock(ctx)
}
deferfunc(){
ifadder.unlocker!=nil{
adder.unlocker.Unlock(ctx)
}
}()
iferr:=adder.addFileNode(ctx,"",file,true);err!=nil{
returnnil,err
}
mr,err:=adder.mfsRoot()
iferr!=nil{
returnnil,err
}
varrootmfs.FSNode
rootdir:=mr.GetDirectory()//knownsec獲取路徑
root=rootdir
err=root.Flush()
iferr!=nil{
returnnil,err
}
_,dir:=file.(files.Directory)
varnamestring
if!dir{
children,err:=rootdir.ListNames(adder.ctx)//knownsec展示當前路徑文件名
iferr!=nil{
returnnil,err
}
iflen(children)==0{
returnnil,fmt.Errorf("expectedatleastonechilddir,gotnone")
}
name=children
root,err=rootdir.Child(name)
iferr!=nil{
returnnil,err
}
}
err=mr.Close()
iferr!=nil{
returnnil,err
}
nd,err:=root.GetNode()
iferr!=nil{
returnnil,err
}
err=adder.outputDirs(name,root)
iferr!=nil{
returnnil,err
}
ifasyncDagService,ok:=adder.dagService.(syncer);ok{
err=asyncDagService.Sync()
iferr!=nil{
returnnil,err
}
}
if!adder.Pin{
returnnd,nil
}
returnnd,adder.PinRoot(ctx,nd)
}
最后再利用addFile函數完成文件的上傳:
func(adder*Adder)addFile(pathstring,filefiles.File)error{
varreaderio.Reader=file
ifadder.Progress{
rdr:=&progressReader{file:reader,path:path,out:adder.Out}//knonwsec按字節讀取文件
iffi,ok:=file.(files.FileInfo);ok{
reader=&progressReader2{rdr,fi}
}else{
reader=rdr
}
}
dagnode,err:=adder.add(reader)//knownsec添加上傳文件
iferr!=nil{
returnerr
}
returnadder.addNode(dagnode,path)
}
分析代碼發現,IPFS在打包文件上傳返回CID的整個過程,都沒實現劫持的可能,而成功上傳的文件無法實現修改其內容,同樣無法實現篡改:
后記
Web3建立在區塊鏈技術之上,無需中央機構即可維護。其允許用戶在互聯網上保護他們的數據,并允許網絡平臺的去中心化。而IPFS技術對他來說就如同一臺電腦的硬盤,web-ui就如同主機的顯示器一樣不可或缺,其間亦存在著復雜而多樣的安全風險可能給予不法分子可乘之機,理解其風險并避免發生問題是每一位Web3從業人員的責任與義務。
TRONDAO攜手BitTorrentChain共同舉辦的2022波場黑客松大賽第二季強勢回歸,報名通道于5月16日開啟.
1900/1/1 0:00:00據最新消息,波場去中心化超抵押穩定幣USDD正式登陸BitMart交易所。目前,USDD充值已開放,USDD/USDT、USDD/USDC交易對也已開啟.
1900/1/1 0:00:00保險是全球經濟的引擎之一。該行業被大多數人使用,但很少有人給予應有的信譽,它是我們所知道的業務的基礎,將災難性失敗或不可預見事件的風險轉移到一個單獨的市場.
1900/1/1 0:00:00今年以來,對全球經濟衰退和40多年來最嚴重通脹的擔憂給新興的加密貨幣市場造成了嚴重破壞。即將進入8月,加密行業并未出現復蘇的跡象.
1900/1/1 0:00:00在Crypto世界里,利用協議漏洞和網絡釣魚成為了加密黑客們發起攻擊的主要方式。據相關報道稱,在2022年第2季度,加密行業因協議漏洞損失的總金額超過6.7億美元,同比去年增加了近50%.
1900/1/1 0:00:007月26日,據區塊鏈瀏覽器TRONSCAN數據,波場TRON交易總數達到3,601,928,192,正式突破36億.
1900/1/1 0:00:00