奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/
大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!
距離以太坊合并僅剩100個區塊高度:金色財經報道,據歐科云鏈OKLink數據顯示,當前距離以太坊合并僅剩100個區塊高度,預計將于23分鐘后啟動Paris升級。
注:The Merge 即“合并”,是以太坊2.0升級過程中的重要步驟之一。以太坊將在推出分片鏈之前進行主網與信標鏈權益證明系統的“合并”,這將標志著以太坊工作證明的淘汰以及向權益證明的完全過渡,合并后以太坊的能源消耗減少約 99.95%。[2022/9/15 6:58:05]
所以一開始,大家還想沖一波會員,來慢慢watch2eran
數據:當前NFT市場情緒指數為12,等級為“Cold”:金色財經報道,據NFTGo數據顯示,當前NFT市場情緒指數為12,等級為“Cold”。另外數據顯示,近24小時NFT市場買家為10,852人,賣家為12,533人。
注:NFT市場情緒指數(實驗性)是根據波動率、交易量、社交媒體和谷歌趨勢計算得出的。[2022/8/22 12:39:35]
然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入
普京簽署法律禁止在俄羅斯使用數字資產進行支付:7月15日消息,俄羅斯總統弗拉基米爾·普京簽署了一項禁止使用數字金融資產支付的法案。該立法要求交易所運營商拒絕處理促進使用數字金融資產 DFA(目前涵蓋加密貨幣的法律類別)作為“貨幣替代品”的交易。該禁令也適用于實用數字版權 (UDR)。(news.bitcoin)[2022/7/15 2:16:34]
mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract
Terra Builder Alliance發布Terra 2.0提案:5月18日消息,Terra Builder Alliance(建設者聯盟)發布Terra 2.0鏈愿景統一提案。稱本提案的目標是: 1. 確保建設者得到適當的激勵 2. 盡可能多地保留當前的LUNAtics 3. 將盡可能多的新LUNAtics帶入網絡。參與起草本提案的主要利益相關者有:建設者生態系統;驗證者;基礎設施團隊;做市商;風險投資和其他各種重要利益相關者。均已表示支持該計劃。該提案已得到 TBA 和 TFL 的認可。并計劃于5月27日啟動Terra 2.0網絡。[2022/5/18 3:25:26]
寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。
由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。
從安全的角度解讀
web3
我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。
1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2
但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之
web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271
DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的C.
1900/1/1 0:00:00背景 2022年8月8日,美國財政部的海外資產控制辦公室簡稱OFAC,的官網顯示,將部分與TornadoCash協議或與之相關的以太坊地址進行交互的地址.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 盡管最近加密貨幣市場陷入困境,但NFT仍然是個熱門話題,并成功打通了現實世界和加密世界.
1900/1/1 0:00:00在區塊鏈網絡中移動加密資產是很困難的,但隨著加密資產和區塊鏈行業的成熟,Web3世界無疑將變得多鏈化,各種區塊鏈網絡針對特定需求和使用情況進行優化.
1900/1/1 0:00:00近期,多個ZKR項目密集官宣最新進展和路線規劃:7月19日,基于zkEVM的ZKR項目Scroll宣布發布測試網.
1900/1/1 0:00:00Odaily星球日報譯者|念銀思唐 摘要: -Moonbirds背后的團隊表示,該NFT系列及其姊妹項目Oddities將轉向使用CC0版權模式.
1900/1/1 0:00:00