TPS:当奈飞的NFT忘记了Web2的业务安全_ETHER

奈飞Netflix是市值达800亿美金的视频类娱乐服务公司,在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢?因此在近期X2earn的火热下,他也创意独裁出了个WatchtoEran官方入口:https://lovedeathandart.com/

大概是会员在阅读影片的过程中,会随机出现一个二维码,结合用户的以太坊地址后,官方会签名信息,用户将可以得到一个signature数值,而有了这个值,即可在netflix官方发布的NFT合约中,铸造一枚nft,如图美观度上十分不错结合上稳定的经济模型,或许又是一个跑鞋般的顶流项目!

Wework创始人新项目Flowcarbon公布其区块链市场基础设施合作伙伴:8月23日消息,Wework 创始人创立的区块链碳信用交易平台 Flowcarbon 公布了其关键区块链市场基础设施合作伙伴,包括去中心化交易平台和自动化做市商协议 Ubeswap、交易路由器和软件开发工具包 (SDK) Node Finance、移动钱包 Valora 以及 dapp Flywallet,它们将在 Celo 区块链上使用 Flowcarbon 的 Token 化碳信用创建基础设施。

此前报道,Flowcarbon 于今年五月完成 7000 万美元融资,a16z 领投。(businesswire)[2022/8/23 12:43:33]

一加手机调查或暗示与区块链或加密货币相关的新项目:一加手机(OnePlus)近期发布了一项调查,询问用户关于加密货币、NFT和二手手机的情况。具体包括:你是否曾投资加密货币,购买或创建NFT,以及你是否购买过二手手机。该公司还询问用户,如果确实投资了加密货币,购买或创建了NFT,和/或购买了二手设备,遇到了什么样的 \"问题或不便\"。据此,有消息推测一加或将开展与区块链或加密货币相关的新项目。(Android authority)[2021/6/1 23:02:19]

所以一开始,大家还想冲一波会员,来慢慢watch2eran

太空链发布官方公告致歉阎焱 并表示将每周持续更新项目进展:此前,太空链SPC(Space Chain)依靠薛蛮子、阎焱、帅初等一票大佬站台,以一天时间完成10亿人民币私募,随后价格大面积破发,引发用户大规模维权。阎焱曾对媒体回应:“我和太空链没有任何关系,我连太空链是什么都不知道,我已委托律师联系他们。”今日,天空链针对此事做出回应,正式向阎焱道歉,并表示天空链项方将继续运行,将会持续地向用户更新每周进展,继续努力完成使命。[2018/3/20]

然而,万万没想到,这个得到官方进行签名的过程,他竟然毫无防护!活动开始,当web3科学家们满怀激动的心,颤抖的手来抓包想等到收到二维码的时候,赫然发现,原来扫码签名无需同web2账号进行鉴权,也无风控逻辑???只需要构建以下的请求,将自己的以太坊地址和目标中的系列号写入

英国外交部批评朝鲜加密会议组织者在沙特阿拉伯被拘留:金色财经报道,英国外交部因在将朝鲜加密货币会议组织者Christopher Emms赶出沙特阿拉伯方面缺乏行动而受到批评,自2月以来,他一直在美国当局的要求下被困在沙特阿拉伯。

埃姆斯二月份在沙特首都利雅得机场被拘留,过去五个月一直在吉达保释。沙特政府正在等待美国当局的文件,他们将根据这些文件决定是否引渡他。这位加密货币商人被指控与美国公民 Virgil Griffith 合作,向朝鲜非法提供加密货币和区块链技术服务,包括帮助他们学会逃避因其核武器计划而实施的银行禁运,从而合谋违反美国对朝鲜的制裁。

这些指控源于 2019 年,当时 Emms 和 Griffith 组织了平壤区块链和加密货币会议。在朝鲜首都举行,对除韩国人、日本人和以色列人以外的所有国际游客开放,门票价格超过 3,000 美元,在这个封闭的国家享受全包住宿,包括拍摄和参观当地啤酒厂等活动。[2022/7/31 2:48:56]

mac系统可以直接在命令行发出,window系统可以用postman等请求包构建工具,即可发出此请求。返回的信息里会有一个signature。然后去官方合约地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

写入,随意编写个data值,以及对应的系列号,即可进行mint。而且几小时后,就有同学制作一键式脚本,进一步降低操作难度。

由于此nft获取的代价太低,基本平均在当前20wei的gas成本下,截止5.20-9点已经有5W次交易,大多数是mint的操作。当然出了bug后,基本后续此nft的价格不会太高,大家也就相当于参与体验玩玩但是对于Netflix而言,一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。虽然某种意义上,这个bug的传播效果似乎完全超出了活动本身的策划。。

从安全的角度解读

web3

我们来分析下合约可以看出,其实他web3部分的合约安保措施是相对到位的。

1:属于标准设计模式,结合eip1271的验签方式来确定白名单资格,1271是为合约进行签名所设计的,其指定的isValidSignature可以设定任意验签逻辑,如支持单签、多签、门限签名等。如果不做这样的签名验证,则在此活动中,如何管控mint白名单就是个高成本的问题了。因为活动本身在于激励用户持续观看,如果积累一段时间的白名单merkle树根到链上,则用户受到激励反馈会比较长而如果每得到一个用户,就上白名单一次,就会造成活动方的高成本2:其次合约还会再将此钱包地址+系列号,纳入hasMinted中,防止重放,并且实现的方式是先修改权限再操作mint,也很到位。web2

但是从web2的角度看,他获取官方签名的环节,其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券,一直都是企业的大挑战。笔者本身从业web2业务安全风控5年,出于职业习惯,也补充下web2好用的安全防护对抗方案。其核心是依赖于账号安全体系健全,黑灰产黑名单数据库的全面性,实时对抗策略的体系。一个要健全的web2上营销反作弊场景保护,其需要4大环节:1:业务风险评估=产品逻辑+数据埋点+埋点处理+动态埋点对抗2:离线策略建模=策略研发+验证+上线评估3:现网持续对抗=策略灰度+策略监控+策略迭代+动态攻防+客诉反馈+黑产情报4:决策处置对抗=行为及时阻断+人机验证+身份核验其中高度依赖黑数据质量,这是成本对抗的基础,核心有设备指纹库,IP画像库,手机画像库,账号画像库等等最后是持续性的算法加强策略检测,比如异常检测,团伙发现,行为检测等。总之

web2的基础不丢才有跑鞋的辉煌,web3是营销利器但也不是独立生态,长期看会与web2诸多基建共存。附录:https://eips.ethereum.org/EIPS/eip-1271

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:769ms