比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

WEB:當奈飛的NFT忘記了Web2的業務安全

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

Kraken Pro宣布已開通XRP全面交易模式:金色財經報道,美國加密貨幣交易所Kraken Pro宣布已開通XRP全面交易模式。[2023/7/14 10:54:33]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

蘇富比重啟Glitch數字藝術拍賣:金色財經報道,蘇富比拍賣行宣布推出“Glitch:Beyond Binary”藝術品拍賣會,這是上個月“Glitch-ism”拍賣會的重啟,該拍賣會因缺乏女性藝術家代表而遭到強烈反對。“Glitch:Beyond Binary”的競標將于美國東部時間4月19日下午2點開始,并將展出來自參與“Glitch-ism”運動的不同藝術家的34批NFT。這種類型的藝術實踐使用數字或模擬錯誤以“故障”的形式破壞一件藝術品。

蘇富比解釋說,MP3可能會跳過或發出噼啪聲,預覽窗口可能會短暫顯示碎片而不是圖像,網站可能會在加載時打嗝并擾亂其內容。雖然這些事件很少預料到并且通常不受歡迎,但故障藝術家實際上可能故意挑起它們。[2023/4/14 14:02:40]

美國銀行:利用分布式賬本技術的CBDC可能改變全球金融體系:金色財經報道,美國銀行 (BOA) 的全球研究團隊本周早些時候發布了一份關于全球加密貨幣、數字資產和中央銀行數字貨幣的報告。銀行寫道:數字貨幣似乎不可避免。我們將分布式賬本和數字貨幣(例如 CBDC 和穩定幣)視為當今貨幣和支付系統的自然演變。我們的觀點是,利用分布式賬本技術的 CBDC 有可能徹底改變全球金融體系,并且可能是貨幣歷史上最重要的技術進步。“由于三個原因,中央銀行發行 CBDC 似乎是不可避免的。” 首先,它們“可能會提高跨境和國內支付和轉賬的效率。” 此外,它們“可能會降低中央銀行失去貨幣控制的風險”和“提高金融包容性”。[2023/1/23 11:26:38]

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

Ian Balina公布訴訟籌款頁面,呼吁加密社區支持其與美國SEC的訴訟糾紛:9月30日消息,加密貨幣投資者Ian Balina公布訴訟籌款頁面,并呼吁加密貨幣社區支持其與美國SEC的訴訟糾紛。

此前消息,美國SEC指控加密貨幣投資者Ian Balina參與推廣在2018年未注冊的加密資產SPRK。該案之所以吸引了眾多關注的原因是,SEC在該案中曾表示“所有以太坊交易都在其管轄范圍內”。(Decrypt)[2022/10/1 22:42:54]

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271

Tags:WEBTCHMINTMINMETAWEB3PA幣AltSwitchalchemint-standardsgemini女朋友多大

歐易交易所app下載
DOG:內幕交易、團隊控盤,謹慎參與DogeChain

此前,Odaily星球日報曾關注過一款meme公鏈Dogechain,Dogechain為使用PolygonEdge開發的EVM兼容鏈網.

1900/1/1 0:00:00
EFI:Jump Crypto:全方位解析鏈上信貸的價值、用例與未來

自2020年中期DeFi活動和創新大規模爆發以來,去中心化借貸已成為新興鏈上金融體系的核心支柱.

1900/1/1 0:00:00
STEEM:Teenie Weenie:小熊IP開啟元宇宙之旅

隨著國內元宇宙行業的火熱,越來越多的品牌、IP方將目光投向數字藏品領域。TeenieWeenie進入中國市場18周年之際,計劃推出自己的數字藏品.

1900/1/1 0:00:00
NFT:「長周期」項目遇冷,「Free Mint」項目成功的關鍵是什么?

7月的NFT市場會讓人聯想到這樣的場景:「冬日,持續的寒風凜冽、大雪紛飛后,耀眼的陽光乍現,人們渴望著溫暖而涌出...」從成交量上看,進入7月以來,NFT市場依然低迷.

1900/1/1 0:00:00
COM:對話Compound核心開發者:詳解最新版本Compound

歡迎閱讀今天TheStateofDeFiLending的文章,本系列咨訊主要關注的是DeFi貸款市場的亮點信息.

1900/1/1 0:00:00
比特幣:貝萊德推出私人信托,為機構客戶提供比特幣風險敞口

Odaily星球日報譯者|念銀思唐管理規模約8.5萬億美元的貝萊德已經推出了一個私人信托基金,為美國的機構客戶提供比特幣的直接敞口.

1900/1/1 0:00:00
ads