奈飞Netflix是市值达800亿美金的视频类娱乐服务公司,在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢?
因此在近期X2earn的火热下,他也创意独裁出了个WatchtoEran
官方入口:
https://lovedeathandart.com/
大概是会员在阅读影片的过程中,会随机出现一个二维码,结合用户的以太坊地址后,官方会签名信息,用户将可以得到一个signature数值,而有了这个值,即可在netflix官方发布的NFT合约中,铸造一枚nft,如图美观度上十分不错结合上稳定的经济模型,或许又是一个跑鞋般的顶流项目!
美国特勤局将在Reddit上主持举办关于加密和金融安全的社区活动:金色财经报道,美国特勤局旧金山外勤办公室和湾区执法联合计算机小组 (REACT)将在社交媒体平台Reddit举办AMA社区活动,美国特勤局旧金山外勤办公室表示,他们的任务是保持加密货币领域的安全,因为该机构认为加密货币作为货币未来和全球金融基础设施中的一环具有重要性,他们也被授权以确保加密和金融安全。湾区执法联合计算机小组则将分享其工作职责,同时为加密货币社区提供资源和信息,以确保他们的资金安全,目前该小组已开始调查加密杀猪盘案件。(crypto.news)[2023/5/15 15:03:10]
所以一开始,大家还想冲一波会员,来慢慢watch2eran
美国SEC将于12月2日的公开会议上开展关于加密和数字资产的小组讨论:11月25日消息,美国证券交易委员会(SEC)宣布将于当地时间12月2日的投资者咨询会议上展开关于题为“在新技术面前,帮助确保投资者保护和市场完整性”的加密和数字资产的小组讨论。此前,11月15日,委员会宣布该会议将向公众开放,小组成员和主持人将远程参加。
据悉,加密货币小组的讨论议程将集中涵盖数字资产的监管框架,市场结构问题和定义新兴技术的风险。其他议题预计将包括区块链技术、基于加密货币的交易所交易基金ETF和稳定币。一半的小组成员都从事区块链的具体工作,包括摩根州立大学Earl G. Graves商业和管理学院教授兼副院长及区块链和金融技术研究中心的创始主任Ali Emdad、Onramp Invest首席执行官Tyrone Ross、Gemini公司首席法律官Sydney Schaub、区块链协会执行董事Kristin Smith。该小组的其余成员由著名的法律教授和金融市场专家组成。
会议中专门用于加密货币小组讨论的部分定于美国东部时间上午10:45至下午12:45(北京时间12月2日23:45—12月3日01:45)进行。整个会议将在美国证券交易委员会的网站上进行网络直播。[2021/11/25 7:10:19]
然而,万万没想到,这个得到官方进行签名的过程,他竟然毫无防护!
欧洲证券和市场管理局(ESMA)征求关于加密货币差价合约的意见:欧洲证券和市场管理局(ESMA)正在就加密货币差价合约(CFDs)的监管变化寻求反馈,目前ESMA正在研究差价合约如何融入金融工具市场指令(MFID)监管框架。具体而言,ESMA正在寻求大众对于差价合约是否应该有严格限制的意见,ESMA在声明中指出,ESMA目前正在讨论由于加密货币价格变动非常大,是否该对加密货币差价合约采取措施。5:1的初始杠杆比率是否能够为投资者提供足够的保护。是否应该降低杠杆率下限至2:1或1:1,或采取更严格的例如禁止向零售客户推销,分销或向销售加密货币差价合约的措施。与此同时文件还指出,最安全的做法可能是全面禁止零售客户投资差价合约,ESMA也希望收到对于这项可能采取的措施的反馈意见。[2018/1/19]
声音 | 比特币安全专家:以太坊不够保守所以不会成为下一个比特币:据AMBcrypto 12月8日消息,比特币安全专家Andreas Antonopoulos表示,除了ETC外,大多数以太坊硬分叉都有“非常、非常高的共识”,以致没有人试图继续一个传统的链。他还表示,他不认为以太坊会成为下一个比特币,因为它们专注于完全不同的应用领域和用例,而以太坊必须变得保守得多,才能发挥同样的应用功能。[2019/12/8]
活动开始,当web3科学家们满怀激动的心,颤抖的手来抓包想等到收到二维码的时候,赫然发现,原来扫码签名无需同web2账号进行鉴权,也无风控逻辑???
只需要构建以下的请求,将自己的以太坊地址和目标中的系列号写入
mac系统可以直接在命令行发出,window系统可以用postman等请求包构建工具,即可发出此请求。返回的信息里会有一个signature。
然后去官方合约地址
https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract
写入,随意编写个data值,以及对应的系列号,即可进行mint。
而且几小时后,就有同学制作一键式脚本,进一步降低操作难度。
由于此nft获取的代价太低,基本平均在当前20wei的gas成本下,截止5.20-9点已经有5W次交易,大多数是mint的操作。当然出了bug后,基本后续此nft的价格不会太高,大家也就相当于参与体验玩玩
但是对于Netflix而言,一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。
虽然某种意义上,这个bug的传播效果似乎完全超出了活动本身的策划。。
从安全的角度解读
web3
我们来分析下合约可以看出,其实他web3部分的合约安保措施是相对到位的。
1:属于标准设计模式,结合eip1271的验签方式来确定白名单资格,1271是为合约进行签名所设计的,其指定的isValidSignature可以设定任意验签逻辑,如支持单签、多签、门限签名等。
如果不做这样的签名验证,则在此活动中,如何管控mint白名单就是个高成本的问题了。
因为活动本身在于激励用户持续观看,
如果积累一段时间的白名单merkle树根到链上,则用户受到激励反馈会比较长
而如果每得到一个用户,就上白名单一次,就会造成活动方的高成本
2:其次合约还会再将此钱包地址+系列号,纳入hasMinted中,防止重放,并且实现的方式是先修改权限再操作mint,也很到位。
web2
但是从web2的角度看,他获取官方签名的环节,其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券,一直都是企业的大挑战。
笔者本身从业web2业务安全风控5年,出于职业习惯,也补充下web2好用的安全防护对抗方案。
其核心是依赖于账号安全体系健全,黑灰产黑名单数据库的全面性,实时对抗策略的体系。
一个要健全的web2上营销反作弊场景保护,其需要4大环节:
1:业务风险评估=产品逻辑+数据埋点+埋点处理+动态埋点对抗
2:离线策略建模=策略研发+验证+上线评估
3:现网持续对抗=策略灰度+策略监控+策略迭代+动态攻防+客诉反馈+黑产情报
4:决策处置对抗=行为及时阻断+人机验证+身份核验
其中高度依赖黑数据质量,这是成本对抗的基础,核心有设备指纹库,IP画像库,手机画像库,账号画像库等等
最后是持续性的算法加强策略检测,比如异常检测,团伙发现,行为检测等。
总之
web2的基础不丢才有跑鞋的辉煌,web3是营销利器但也不是独立生态,长期看会与web2诸多基建共存。
附录:https://eips.ethereum.org/EIPS/eip-1271
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。