加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

當奈飛的NFT忘記了Web2的業務安全_WEB:MINT

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

Worldcoin代幣WLD注冊人數超過200萬:金色財經報道,由 Sam Altman 共同創建的加密項目Worldcoin今天宣布推出其WLD代幣,并將其分發給全球超過200萬人。該項目是加密貨幣領域最具爭議性的項目之一。其重點是幫助人們通過虹膜掃描球親自驗證憑據,在線證明自己的身份。超過200萬人(其中大部分來自南半球國家)已經通過驗證,今天他們所有人都將收到自己應得的WLD代幣份額。[2023/7/24 15:55:12]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

CertiK:SCT部署者出售了最初鑄幣和早期購買的代幣導致代幣價格下滑90%:金色財經報道,據CertiK監測,SCT代幣價格下滑了90%,部署者出售了最初鑄幣和早期購買的代幣,共計約28萬6千美元。[2023/6/7 21:21:49]

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

元宇宙初創公司SodaWorld獲瑞士風投CV VC投資:8月15日消息,南非元宇宙初創公司SodaWorld宣布獲得瑞士風投公司CV VC投資,具體金額暫未披露,CV VC總部位于瑞士加密箍,專注于在區塊鏈行業投資早期階段創企。

SodaWorld 將為 2022 年威尼斯沉浸式音樂節和約翰內斯堡 Soda Studios 音樂活動的元宇宙虛擬世界直播提供支持。(Techinafrica )[2022/8/16 12:27:15]

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

“長安鏈”將推動區塊鏈技術在民航落地:金色財經消息,記者從北京微芯區塊鏈與邊緣計算研究院獲悉,該院近日和中國民航信息集團正式簽署戰略合作協議,雙方將基于長安鏈建立面向全球的大商旅數字經濟服務新模式,這也標志著長安鏈協作網絡“落子”全球商旅服務節點。

此次合作,雙方將基于我國首個自主可控的區塊鏈軟硬件技術體系“長安鏈”,打造符合民航發展特點和行業需求的區塊鏈基礎設施——“民航鏈”,并推動區塊鏈創新技術及Web3.0創新模式在民航領域的落地實施。(新浪財經)[2022/7/11 2:04:25]

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271

Tags:WEB區塊鏈WEB3MINTWEB3幣區塊鏈技術通俗講解小區web3.0幣怎么提現到賬號Minter

抹茶交易所
ENS:Web3世界的名片_ENS:Genie Protocol

8月1日,蒂芙尼以近33WRMB的價格購買ENS域名tiffany.eth,引發越來越多的圈內外人士開始關注到ENS這一應用.

1900/1/1 0:00:00
Bankless:這五類應用或將成為下一輪牛市的催化劑_BAN:ANK

你可能比較疑惑為什么熊市通常被稱為致富的契機,因為這個階段會有大量低價買入項目或代幣的機會。困難在于如何選擇合適的項目,但可以肯定的是機會是很明確的.

1900/1/1 0:00:00
拆解「匿名者」套路:2022上半年Web3黑客常用的攻擊方式有哪些?_以太坊:COI

在剛剛發布的《2022年上半年Web3安全態勢深度研報》中,我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢.

1900/1/1 0:00:00
X2Y2「自定義版稅」背后的思考:版稅改革將重塑NFT行業?_NFT:GNFT

總結 我們先用4個問題看清現狀NFT版稅是怎么出現的?NFT版稅是吸引以藝術家為主的早期項目最重要武器.

1900/1/1 0:00:00
星球日報 | 歐盟立法者正尋求限制銀行的比特幣持有量;攻擊者利用NearX漏洞鑄造2000萬枚NearX(8月18日)_ETH:ITA

頭條 歐盟立法者正尋求限制銀行的比特幣持有量據歐盟于今日公布的金融服務法擬議修正案顯示,接觸比特幣等加密貨幣的歐盟銀行將面臨持有量上限和高額資本要求.

1900/1/1 0:00:00
一文速覽StarkNet黑客松9個獲獎項目_HUB:Zenith Token

上周,EncodeClub在巴黎舉辦了為期2天的StarkNet黑客馬拉松活動,一共有150位開發者和30個項目,來看看在這次活動中,有哪些項目進入了決賽以及有哪些項目贏得了獎項.

1900/1/1 0:00:00
ads