CELO:简析 IPFS 监管风险：内容风险或由矿工承担_MOO

内容风险是存储系统的主要法律风险，但短期内无需过度担心。

原文标题：《数据合规||IPFS，一场平台到矿工的风险转移？》来源：火小律

IPFS/Filecoin测试如火如荼的进行，越来越多的人开始担心IPFS合规性问题，去中心化存储会不会和国内网络监管、数据安全政策冲突而腰斩？

火小律的观点是，短期内无需过度担心。项目太年轻，未来发展不确定性较多，需要时间发酵。监管不会过早出手。比特币2008年问世，2013年监管第一次重视，威震业界的94文件更是2017年才发布，前后相差近10年。

关于去中心化分布式存储，想要长久持续规模化发展，有些问题还需尽早考虑。本文仅根据现有官方消息及相关测试等情况，主要从矿工角度就法律合规问题做适当探讨。

安全团队：Rubic被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Rubic项目被攻击，Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验，_params可以指定任意的参数，攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数，把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址，被盗资金近1100个以太坊，通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]

传统云存储服务商的常见风险

安全团队：获利约900万美元，Moola协议遭受黑客攻击事件简析:10月19日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，Celo上的Moola协议遭受攻击，黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析，结果如下：

第一步：攻击者进行了多笔交易，用CELO买入MOO,攻击者起始资金（182000枚CELO）.

第二步：攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑，攻击者抵押了价值a的MOO，可借出价值b的CELO。

第三步：攻击者用贷出的CELO购买MOO，从而继续提高MOO的价格。每次交换之后，Moo对应CELO的价格变高。

第四步：由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断，导致用户之前的借贷数量，并未达到价值b，所以用户可以继续借出CELO。通过不断重复这个过程，攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步：攻击者进行了累计4次抵押MOO，10次swap（CELO换MOO），28次借贷，达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源，根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时，通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方，将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

讨论IPFS法律合规风险，不得不先了解传统云存储的法律风险。

慢雾：DEUS Finance 二次被黑简析:据慢雾区情报，DEUS Finance DAO在4月28日遭受闪电贷攻击，慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个的DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

针对该事件，慢雾安全团队给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

传统的云存储，也就是中心化云存储，风险一般由云存储服务商，即平台承担。

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

除却常规的许可证申请等必备程序事项，最常见的2项风险，一项是数据合规风险，一项是侵权风险。

数据合规风险，目前更多的还是针对个人信息的保护，涉及数据收集、使用、存储、流动、删除、跨境等多个环节的合规要求。核心是避免不必要的采集和防止泄露，而数据出境，即数据的跨国流动则需满足更高的要求。

侵权风险，主要指存储内容涉嫌侵犯他人知识产权时，平台应采取哪些合理措施以免责。一般情况遵循「通知-删除」规则，即当平台接到用户侵权通知后，需及时采取删除、屏蔽、断开链接等必要措施，若失职导致损害扩大，需对扩大部分承担连带责任。但针对阿里云等Iaas服务商，并不适用上述规则。主要还是根据服务商具体的服务性质、服务内容以及是否存在衍生性技术服务等综合判定，法律上较为复杂，这里就不展开了。

一场平台到矿工的风险转移？

纵观IPFS白皮书，剖开所有的修饰词和特征，核心还是云存储，只是采用分布式的方式，即提供具体存储服务的从平台换成了个人。

由此产生2个问题。

第一，信息自由存储是否意味着无需满足监管要求？

显然不是。一切只有在合规的要求下才能长久有序的发展，这个道理大家都明白，无需多说。

既然需在监管框架下运行，为何开篇又说暂时无需担心可能的监管冲突？这是个「短期」vs「长期」的问题。现实的说，实务中监管无法渗透到方方面面，即便是已然成熟的行业，也难免有缺失和滞后，更何况是短期内未成气候的。

第二，分布式存储是否意味着平台责任转移至个人？

某种程度上是的。根据现有信息及测试网运行情况，无论存储或是检索，矿工均是有偿服务。而这一过程中平台并不撮合交易，一切由用户和矿工自行沟通。既然是收费服务，又不受平台过多干涉，具备较强的自主性，那么享有利益的同时自然也承担一定的责任。

矿工可能面对的主要风险

鉴于项目存有变数，目前仍处于测试期间，只能笼统分析基础风险。

对绝大多数矿工而言，担心的应该是，会不会挖到一半，整个项目被政府叫停，自己的投资和付出打了水漂。这方面短期内无需过多担心。技术是中立的，可以将整个项目理解为有偿存储业务，FIL币视为类似游戏代币，供存储检索消耗使用。单纯的内循环模式运作，只要不被大量用作违法犯罪事项，不涉及人民币虚拟货币兑换事项，被突然叫停的可能性并不大。

回归法律风险，对于一个存储系统，最关键的还是「内容风险」。

存储普通合法内容，自然什么问题没有。若是违法内容或者敏感内容，则风险系数直线上升。

敏感内容主要集中在2类，个人信息商业秘密；违法内容，涉及2层，第1层是非法内容，例如涉黄涉暴危恐等法律明文禁止的内容；第2层是潜在的违法内容，例如侵犯他人著作权等相关知识产权的内容。

无论是官宣的碎片式加密存储，或是测试网的整份存储，矿工的风险基本都集中在存储、传播、保管三件事上。

例如，存储时，是否知道或者有合理依据判断属于非法内容等？又如，明知涉隐私内容或不良内容，是否存在主动传播的行为等？再如，保存过程中是否未尽合理义务导致数据丢失或外泄等？这些都是可能的风险，不同的情况触发不同的责任，还需结合业务环境具体分析。

IPFS将走向何方？

一直困扰火小律这个圈外人的疑问。

IPFS作为一个存储系统，最终落地场景是哪些领域？单纯依靠「去中心化」的信仰，是否可以吸引足够的现实的存储用户？用户舍弃已有的云存储品牌服务商，选择IPFS的核心原因是什么？

如果不能切实接地气的回答以上问题，谈监管谈合规化，真心为时尚早。

官方的太空竞赛2主要针对存储用户和开发人员，基本的用户身份审核后，期望用户携带真实、有价值和可用的数据进场，包括但不限于应用程序数据或数据集合。只有汇集更多优质、有价值的数据，才能盘活项目，提升项目含金量。

试想，比特币诞生后，作为虚拟货币的一种，只要不威胁到主权货币的地位，合规未必会成为难题。Libra2.0的妥协便是很好的例证。为什么发展至今，币价居高不下，炒币客已然遍布全国，仍不受监管待见？答案恐怕只能是几乎所有人心照不宣的「」问题。

当一个项目，即使是像IPFS这样当年的金牌项目，如果充斥着大量垃圾无效违规内容，被频繁用于违法犯罪活动，想不被叫停也难了。互金便是例证，只剩黯淡退出的结局。

IPFS将走向何方？只有项目本身和参与者才能给出最终的答案。

标签：CELOCELMOOBNBcelo币未来潜力celt币庄家没了DMOON价格togetherbnb手游下载女鬼

DOGE热门资讯