内容风险是存储系统的主要法律风险,但短期内无需过度担心。
原文标题:《数据合规||IPFS,一场平台到矿工的风险转移?》来源:火小律
IPFS/Filecoin测试如火如荼的进行,越来越多的人开始担心IPFS合规性问题,去中心化存储会不会和国内网络监管、数据安全政策冲突而腰斩?
火小律的观点是,短期内无需过度担心。项目太年轻,未来发展不确定性较多,需要时间发酵。监管不会过早出手。比特币2008年问世,2013年监管第一次重视,威震业界的94文件更是2017年才发布,前后相差近10年。
关于去中心化分布式存储,想要长久持续规模化发展,有些问题还需尽早考虑。本文仅根据现有官方消息及相关测试等情况,主要从矿工角度就法律合规问题做适当探讨。
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
传统云存储服务商的常见风险
讨论IPFS法律合规风险,不得不先了解传统云存储的法律风险。
传统的云存储,也就是中心化云存储,风险一般由云存储服务商,即平台承担。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
除却常规的许可证申请等必备程序事项,最常见的2项风险,一项是数据合规风险,一项是侵权风险。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
数据合规风险,目前更多的还是针对个人信息的保护,涉及数据收集、使用、存储、流动、删除、跨境等多个环节的合规要求。核心是避免不必要的采集和防止泄露,而数据出境,即数据的跨国流动则需满足更高的要求。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
侵权风险,主要指存储内容涉嫌侵犯他人知识产权时,平台应采取哪些合理措施以免责。一般情况遵循「通知-删除」规则,即当平台接到用户侵权通知后,需及时采取删除、屏蔽、断开链接等必要措施,若失职导致损害扩大,需对扩大部分承担连带责任。但针对阿里云等Iaas服务商,并不适用上述规则。主要还是根据服务商具体的服务性质、服务内容以及是否存在衍生性技术服务等综合判定,法律上较为复杂,这里就不展开了。
一场平台到矿工的风险转移?
纵观IPFS白皮书,剖开所有的修饰词和特征,核心还是云存储,只是采用分布式的方式,即提供具体存储服务的从平台换成了个人。
由此产生2个问题。
第一,信息自由存储是否意味着无需满足监管要求?
显然不是。一切只有在合规的要求下才能长久有序的发展,这个道理大家都明白,无需多说。
既然需在监管框架下运行,为何开篇又说暂时无需担心可能的监管冲突?这是个「短期」vs「长期」的问题。现实的说,实务中监管无法渗透到方方面面,即便是已然成熟的行业,也难免有缺失和滞后,更何况是短期内未成气候的。
第二,分布式存储是否意味着平台责任转移至个人?
某种程度上是的。根据现有信息及测试网运行情况,无论存储或是检索,矿工均是有偿服务。而这一过程中平台并不撮合交易,一切由用户和矿工自行沟通。既然是收费服务,又不受平台过多干涉,具备较强的自主性,那么享有利益的同时自然也承担一定的责任。
矿工可能面对的主要风险
鉴于项目存有变数,目前仍处于测试期间,只能笼统分析基础风险。
对绝大多数矿工而言,担心的应该是,会不会挖到一半,整个项目被政府叫停,自己的投资和付出打了水漂。这方面短期内无需过多担心。技术是中立的,可以将整个项目理解为有偿存储业务,FIL币视为类似游戏代币,供存储检索消耗使用。单纯的内循环模式运作,只要不被大量用作违法犯罪事项,不涉及人民币虚拟货币兑换事项,被突然叫停的可能性并不大。
回归法律风险,对于一个存储系统,最关键的还是「内容风险」。
存储普通合法内容,自然什么问题没有。若是违法内容或者敏感内容,则风险系数直线上升。
敏感内容主要集中在2类,个人信息商业秘密;违法内容,涉及2层,第1层是非法内容,例如涉黄涉暴危恐等法律明文禁止的内容;第2层是潜在的违法内容,例如侵犯他人著作权等相关知识产权的内容。
无论是官宣的碎片式加密存储,或是测试网的整份存储,矿工的风险基本都集中在存储、传播、保管三件事上。
例如,存储时,是否知道或者有合理依据判断属于非法内容等?又如,明知涉隐私内容或不良内容,是否存在主动传播的行为等?再如,保存过程中是否未尽合理义务导致数据丢失或外泄等?这些都是可能的风险,不同的情况触发不同的责任,还需结合业务环境具体分析。
IPFS将走向何方?
一直困扰火小律这个圈外人的疑问。
IPFS作为一个存储系统,最终落地场景是哪些领域?单纯依靠「去中心化」的信仰,是否可以吸引足够的现实的存储用户?用户舍弃已有的云存储品牌服务商,选择IPFS的核心原因是什么?
如果不能切实接地气的回答以上问题,谈监管谈合规化,真心为时尚早。
官方的太空竞赛2主要针对存储用户和开发人员,基本的用户身份审核后,期望用户携带真实、有价值和可用的数据进场,包括但不限于应用程序数据或数据集合。只有汇集更多优质、有价值的数据,才能盘活项目,提升项目含金量。
试想,比特币诞生后,作为虚拟货币的一种,只要不威胁到主权货币的地位,合规未必会成为难题。Libra2.0的妥协便是很好的例证。为什么发展至今,币价居高不下,炒币客已然遍布全国,仍不受监管待见?答案恐怕只能是几乎所有人心照不宣的「」问题。
当一个项目,即使是像IPFS这样当年的金牌项目,如果充斥着大量垃圾无效违规内容,被频繁用于违法犯罪活动,想不被叫停也难了。互金便是例证,只剩黯淡退出的结局。
IPFS将走向何方?只有项目本身和参与者才能给出最终的答案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。