比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

當奈飛的NFT忘記了Web2的業務安全_INT

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?

因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran

官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

Stripe推出法幣到加密貨幣網關:金色財經報道,支付巨頭Stripe今天宣布推出Stripe托管的法幣到加密貨幣網關(onramp),使Web3公司更容易幫助美國的客戶購買加密貨幣。此外,Stripe正在向所有Web3用戶開放該通道,包括那些在過去幾個月加入等待名單的用戶。[2023/5/5 14:44:03]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!

活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???

Solana流支付協議Zebec推出Zepoch節點,預計明年推出L1鏈:10月17日消息,Solana生態流支付協議Zebec今日宣布,預計明年將推出自己的L1應用鏈Zebec Chain,并推出Zepoch節點及激勵計劃,官方將分發30,000個Zepoch節點,每售出50個,價格上漲0.5%。此外,持有Zepoch節點將獲20%的收入獎勵及ZBC代幣空投等。

今年8月,Zebec以10億美元完全稀釋估值完成850萬美元融資。[2022/10/17 17:29:06]

只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

以太坊客戶端 Teku 發布 Teku v22.8.1:金色財經消息,以太坊客戶端 Teku 發布 Teku v22.8.1 ,是所有主網用戶為合并做準備所必需的版本更新。所有主網用戶必須在9月6日之前升級。[2022/8/22 12:40:04]

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。

然后去官方合約地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

Edgeware平行鏈Kabocha贏得Kusama第38次插槽競拍:6月12日消息,Edgeware平行鏈Kabocha贏得Kusama第38次插槽Auction。據悉,Edgeware是Polkadot的第一條智能合約共鏈,旨在構建高性能、鏈上自治的WASM智能合約平臺。此外,Kusama第39次插槽Auction將在6月13日早上6點左右結束。目前在蠟燭期領先的是Tanganika。[2022/6/13 4:20:52]

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。

而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩

但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。

雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

安全的角度解讀

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。

如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。

因為活動本身在于激勵用戶持續觀看,

如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長

而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本

2:其次合約還會再將此錢包地址系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。

web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。

筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。

其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。

一個要健全的web2上營銷反作弊場景保護,其需要4大環節:

1:業務風險評估=產品邏輯數據埋點埋點處理動態埋點對抗

2:離線策略建模=策略研發驗證上線評估

3:現網持續對抗=策略灰度策略監控策略迭代動態攻防客訴反饋黑產情報

4:決策處置對抗=行為及時阻斷人機驗證身份核驗

其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等

最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。

總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。

Tags:WEBINTMINWEB3ALFweb3Projectstartingpointgemini女朋友web3游戲平臺

萊特幣價格
比特幣高于實際價格的走勢能否基于市場情緒而消失?_BTC

??7月份加密市場的全面復蘇最近出現了新的轉折。比特幣通過最新的看漲活動有效地引領潮流。然而,可疑的鯨魚運動在市場上引起了一些關注,這在社區中灌輸了FUD情緒.

1900/1/1 0:00:00
韓國檢方正調查Terra是否通過自己借貸或抵押來夸大其交易量_Terra

7月29日消息,韓國檢方正調查Terra是否通過自己借貸或抵押來夸大其交易量。Terra和Luna曾以業界最高的加密貨幣交易所交易量吸引投資者.

1900/1/1 0:00:00
以太坊測試網Goerli/Prater合并于8月4日開始,合并后保留Goerli名稱_以太坊

7月28日消息,以太坊協議支持團隊發布Goerli–Prater合并公告,稱在最后一次測試網PoS轉換中,Goerli即將與Prater合并,且合并后的網絡將保留Goerli的名稱.

1900/1/1 0:00:00
金色晚報 | 7月30日晚間重要動態一覽_區塊鏈

12:00-21:00關鍵詞:馬斯克、SushiSwap、Nansen、直布羅陀1.路透社:馬斯克就440億美元的交易反訴Twitter;2.

1900/1/1 0:00:00
低于 0.2 美元的三大元界區塊鏈值得關注_區塊鏈

由于上周加密市場表現良好,元界加密貨幣仍然是交易者和投資者最受歡迎的利基代幣之一,他們希望長期致力于為市場提供真正效用的項目。有數十種元界加密貨幣,具有不同的市值和單位價格,處于不同的發展階段.

1900/1/1 0:00:00
虛擬貨幣騙局MBI集團創辦人張譽發于今日移交中國受審_比特幣

7月26日消息,總部位于馬來西亞檳城的MBI集團創辦人張譽發7月22日在泰國落網并被驅逐出境,于今日移交中國受審.

1900/1/1 0:00:00
ads