比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

當奈飛的NFT忘記了Web2的業務安全_WEB3

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

43689枚BNB從未知錢包轉移到Binance:金色財經報道,Whale Alert監測顯示,13分鐘前43689枚BNB(約13374616美元)從未知錢包轉移到Binance。[2023/6/2 11:53:49]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

澳大利亞證交所:軟件平臺重建將不再涉及區塊鏈技術:5月19日消息,澳大利亞證券交易所(ASX)表示,它將不再試圖用基于區塊鏈的技術重建其軟件平臺。去年11月,ASX“暫停”了基于去中心化計算概念的一體化交易、結算和清算軟件的重建,令市場參與者感到沮喪。此前,一項外部審查發現,經過7年的開發,該軟件必須在很大程度上進行重新設計。[2023/5/19 15:13:29]

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

NEAR基金會發布透明度報告:每年5%的通脹率中的90%將發送給驗證者以作為質押獎勵支付:金色財經報道,NEAR基金會發布透明度報告。報告稱,在創世時,NEAR區塊鏈有十億個代幣。此后,供應數量增加到11億。由于通貨膨脹,這個數字穩步上升。作為參考,每年5%的通脹率中的 90%將發送給驗證者以作為質押獎勵支付,剩余的10%將返還給NEAR基金會金庫。

真實賬戶總數一直在快速增長,總數達到2200萬。目前,在 NEAR 上以平均每天 35,000 到 38,000 個新帳戶的速度創建新帳戶。這個數字比前一周有所下降,前一周平均每天有 37,000 -39,000 個帳戶。[2022/11/27 20:56:56]

Rabby:已將黑客范圍縮小到3人,若黑客24小時未歸還資金將尋求司法幫助:10月15日消息,DeBank插件錢包Rabby Wallet發推稱,在社區和安全機構的幫助下,將黑客的范圍縮小到3個人。如果黑客未在24小時內歸還資金,團隊將有義務協助受影響的用戶尋求司法幫助。Rabby估計此次攻擊損失為200,000美元,為保護用戶利益,Rabby將在黑客歸還資金之前使用Rabby保險基金補償損失。Rabby保險基金包含100萬美元作為初始資金。

此前消息,Rabby錢包項目的Swap合約存在漏洞,可任意轉移用戶資產。[2022/10/15 14:28:58]

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271

Tags:WEBRABNEARWEB3WEB3.0RABBIT幣near幣中國人叫他什么web3游戲開發

比特幣價格
Michael Saylor卸任MicroStrategy CEO,由Phong Le「接棒」_RAT

Odaily星球日報譯者|念銀思唐據MicroStrategy周二發布的2022年第二季度財報顯示,該公司在該季度計入了9.178億美元的非現金數字減值支出.

1900/1/1 0:00:00
?公鏈迭代方向具備哪些特征?盤點下一輪牛市有望崛起的特色公鏈_MIN

摘要隨著新公鏈市場熱度攀升,特色公鏈的概念隨之浮現,打敗以太坊的或許不是以太坊的Fork,而是更具破局性質,能夠幫助Web3.0走向成熟形態的好用公鏈.

1900/1/1 0:00:00
一周融資速遞 | 33家項目獲投;已披露融資總額約為2.3億美元(8.15-8.21)_ENT

經Odaily星球日報不完全統計,8月15日-8月21日當周公布的海內外區塊鏈融資事件共33起,較前一周有一定減少;已披露融資總額約為2.3億美元,較前一周有大幅下降.

1900/1/1 0:00:00
八大知識點快速讀懂以太坊合并與分叉_ETH

從900美元左右的低點一路飆升至如今的約1900美元,ETH的上漲讓不少等待500美元再抄底的投資者拍斷大腿.

1900/1/1 0:00:00
「長周期」項目遇冷,「Free Mint」項目成功的關鍵是什么?_MINT

7月的NFT市場會讓人聯想到這樣的場景:「冬日,持續的寒風凜冽、大雪紛飛后,耀眼的陽光乍現,人們渴望著溫暖而涌出...」從成交量上看,進入7月以來,NFT市場依然低迷.

1900/1/1 0:00:00
Foresight Ventures市場周報:沒有壞消息就是好消息_DEF

市場觀點 宏觀流動性 貨幣流動性整體緊縮。美聯儲如期加息75個基點,說明美聯儲對控制住CPI以及穩住GDP有實質性信心。鮑威爾放鴿談及放慢加息節奏,美元指數顯示出疲軟的最初跡象.

1900/1/1 0:00:00
ads