買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 區塊鏈 > Info

ANK:當奈飛的NFT忘記了web2的業務安全_WEB3

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?

因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran

官方入口:

https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

企業應用軟件商SAP正為其客戶測試以USDC結算的跨境支付:6月23日消息,德國企業應用軟件商SAP宣布正為其客戶測試以USDC結算的跨境支付。作為測試驅動的一部分,客戶將收到測試用的USDC作為游戲幣來支付樣本發票。測試驅動并不在主區塊鏈上運行,而是在測試網絡上,不涉及真實的貨幣。[2023/6/23 21:55:57]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!

流動性質押衍生品協議Asymmetry Finance完成300萬美元融資,Ankr等參投:5月16日消息,流動性質押衍生品(LSD)協議 Asymmetry Finance 完成 300 萬美元融資,Ecco Capita、Republic Capital、GMJP 和 Ankr 參投。

據悉,Asymmetry 的主要產品是 safETH Token,其代表了一籃子流動性質押衍生 Token,包括 Lido 的 wstETH,Rocketpool 的 rETH,Frax 的 frxETH,Stakewise 的 sETH2 和 Ankr 的 ankrETH。[2023/5/16 15:06:53]

活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???

OKX Web3錢包Earn板塊已經支持質押ETH贖回:4月13日,據官方消息,OKX Web3錢包Earn板塊已經支持質押ETH贖回,Earn板塊已支持Lido、Stakewise、Rocket Pool、Frax Finance等流動性質押協議的質押與贖回,其相關配套的質押、LP挖礦協議也均已支持,用戶可以在上海升級專區找到這些投資產品。同時OKXWeb3錢包已推出ETH上海升級活動,投資相關投資品可享GAS補貼和100%空投獎勵。活動期間,平均持倉前20用戶可瓜分20,000美元獎金。[2023/4/13 14:00:52]

只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。

Argo:旗下一子公司在Signature Bank有現金存款,但存款安全且可用:3月14日消息,比特幣礦企Argo Blockchain表示,其一家子公司在Signature Bank存有現金存款,但這些存款是安全的,可以使用。該公司補充稱,Argo及其子公司對硅谷銀行或Silvergate均無任何敞口。(Proactive Investors)[2023/3/14 13:03:20]

然后去官方合約地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。

而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩

但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。

雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。

如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。

因為活動本身在于激勵用戶持續觀看,

如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長

而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本

2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。

web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。

筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。

其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。

一個要健全的web2上營銷反作弊場景保護,其需要4大環節:

1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗

2:離線策略建模=策略研發+驗證+上線評估

3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報

4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗

其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等

最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。

總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。

附錄:https://eips.ethereum.org/EIPS/eip-1271

來源:金色財經

Tags:WEBETHWEB3ANKweb3游戲龍之島Alchemix ETHweb3游戲邊玩邊賺BLANK幣

區塊鏈
以太坊:7.30行情橫盤震蕩 日內短線為主_DEFI

7.30比特幣行情解析 大餅昨日走勢如預期一致先下后上,行情下行至23400附近給到我們多單進場機會,然后順利拉升至第一止盈位置恭喜跟上多單的朋友,獲利700美刀.

1900/1/1 0:00:00
以太坊:冷風說幣:BTC上漲趨勢不變 短期或有震蕩 沒上車的盡快了 2022.07.30_SAFE

市場消息 據智通財經報道,比特幣價格7月份上漲超28%,以太坊上漲超72%,并且漲勢在仍在延續。截至發稿,比特幣價格23868美元/枚,以太坊價格1729/枚.

1900/1/1 0:00:00
CHA:數字藏品大熱你還在對這個詞感到陌生嗎?_區塊鏈

???如果說2021年互聯網圈有一個“熱詞排行榜”的話,數字藏品一定榜上有名。數字藏品是指運用區塊鏈技術,對應特定的作品、藝術品生成的唯一數字憑證,在保護其數字版權的基礎上,實現真實可信的數字化.

1900/1/1 0:00:00
coinbase:虛擬貨幣“礦場”被查封后的法律后果有哪些?_2BASED

摘要 一些“礦友”咨詢我們團隊律師,自己的虛擬貨幣“礦場”被執法機關查封了,執法機關會如何處理?作為當事人又會面臨什么樣的法律后果?針對上述問題,我們基于“924通知”及相關的法律法規規定.

1900/1/1 0:00:00
FISH:Starfish Os X MetaBell戰略合作 元宇宙商業生態更進一步_STAR

StarfishOsXMetaBell戰略合作,元宇宙商業生態更進一步元宇宙成為了去年最火的概念板塊之一,并且賽道整體的表現亮眼.

1900/1/1 0:00:00
LIQ:金色趨勢丨波段機會正在醞釀_LEE

LeetSwap:已收回400枚ETH,明日7時重新開放交易:8月3日消息,LeetSwap發推稱,通過嘗試對2000個交易對進行恢復操作,已收回400枚ETH,將發送到團隊錢包.

1900/1/1 0:00:00
ads