ETH:當奈飛的NFT忘記了web2的業務安全

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司，在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢？

因此在近期X2earn的火熱下，他也創意獨裁出了個WatchtoEran

官方入口：

https://lovedeathandart.com/

大概是會員在閱讀影片的過程中，會隨機出現一個二維碼，結合用戶的以太坊地址后，官方會簽名信息，用戶將可以得到一個signature數值，而有了這個值，即可在netflix官方發布的NFT合約中，鑄造一枚nft，如圖美觀度上十分不錯結合上穩定的經濟模型，或許又是一個跑鞋般的頂流項目！

Cosmos生態DEX Osmosis已集成Celestia數據可用性層:8月9日消息，Cosmos生態系統DEX Osmosis已集成Celestia數據可用性層。Osmosis表示，未來Rollup網絡可以在任何地方訪問流動性并在Celestia上使用Osmosis網絡上的任何代幣跨鏈支付DA費用。Osmosis還表示，很快將與跨鏈應用構建平臺Hyperlane集成。[2023/8/9 21:34:20]

所以一開始，大家還想沖一波會員，來慢慢watch2eran

然而，萬萬沒想到，這個得到官方進行簽名的過程，他竟然毫無防護！

Hooked：正積極實施用于質押/消費HOOK的實用案例:1月10日消息，Web3社交網絡Hooked Protocol在其社交平臺分享其長期愿景，表示團隊要在Hooked社交基礎設施、Hooked生態系統以及Hooked元宇宙三個方面進行建設。

此外，HOOK是協議的通縮型治理和實用Token，將作為Hooked生態系統的經濟媒介，充當Hooked的財務支柱。項目方正在積極實施用于質押/消費HOOK的實用案例，以推動其元宇宙中的經濟流動。[2023/1/10 11:04:29]

活動開始，當web3科學家們滿懷激動的心，顫抖的手來抓包想等到收到二維碼的時候，赫然發現，原來掃碼簽名無需同web2賬號進行鑒權，也無風控邏輯？？？

只需要構建以下的請求，將自己的以太坊地址和目標中的系列號寫入

新加坡將要求散戶投資者在交易加密貨幣之前進行測試:金色財經報道，新加坡中央銀行周三在一系列措施中提議，新加坡可能很快就會要求零售投資者參加測試，不得使用信用卡支付和其他形式的借貸來交易加密貨幣，因為這個島國希望讓公民意識到圍繞波動性資產的風險。新加坡金融管理局在一份咨詢文件中稱，它擔心許多零售客戶可能\"對數字支付代幣交易的風險沒有足夠的認識\"，這可能導致他們承擔比他們本來愿意或能夠承擔的更高的風險。

幾個加密貨幣交易所已經要求他們的客戶在被允許交易加密貨幣和參與衍生品交易之前定期篩選問卷。央行承認，一些行業參與者支持對零售客戶的風險知識進行某種形式的評估。新指南在 12 月下半月之前向公眾咨詢，還建議加密服務提供商不應使用獎勵措施，例如向零售客戶贈送免費代幣或其他禮物。它還提議禁止名人代言。[2022/10/26 16:39:44]

mac系統可以直接在命令行發出，window系統可以用postman等請求包構建工具，即可發出此請求。返回的信息里會有一個signature。

幣安將于9月13日推出全新期權交易平臺:9月10日消息，據官方公告，幣安將于9月13日（東八區時間）推出全新的幣安期權交易平臺，用戶可在幣安網頁端和幣安App端使用。幣安將首先上線ETH期權，并以穩定幣USDT定價和結算。

若ETH合并發生分叉，幣安將不會對ETH期權的行權價格進行調整。合并前后上架的ETH期權將遵循標準結算程序，并將基于權益證明（PoS）ETH的USDT價值。[2022/9/10 13:21:16]

然后去官方合約地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入，隨意編寫個data值，以及對應的系列號，即可進行mint。

而且幾小時后，就有同學制作一鍵式腳本，進一步降低操作難度。

由于此nft獲取的代價太低，基本平均在當前20wei的gas成本下，截止5.20-9點已經有5W次交易，大多數是mint的操作。當然出了bug后，基本后續此nft的價格不會太高，大家也就相當于參與體驗玩玩

但是對于Netflix而言，一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。

雖然某種意義上，這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出，其實他web3部分的合約安保措施是相對到位的。

1：屬于標準設計模式，結合eip1271的驗簽方式來確定白名單資格，1271是為合約進行簽名所設計的，其指定的isValidSignature可以設定任意驗簽邏輯，如支持單簽、多簽、門限簽名等。

如果不做這樣的簽名驗證，則在此活動中，如何管控mint白名單就是個高成本的問題了。

因為活動本身在于激勵用戶持續觀看，

如果積累一段時間的白名單merkle樹根到鏈上，則用戶受到激勵反饋會比較長

而如果每得到一個用戶，就上白名單一次，就會造成活動方的高成本

2：其次合約還會再將此錢包地址+系列號，納入hasMinted中，防止重放，并且實現的方式是先修改權限再操作mint，也很到位。

web2

但是從web2的角度看，他獲取官方簽名的環節，其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券，一直都是企業的大挑戰。

筆者本身從業web2業務安全風控5年，出于職業習慣，也補充下web2好用的安全防護對抗方案。

其核心是依賴于賬號安全體系健全，黑灰產黑名單數據庫的全面性，實時對抗策略的體系。

一個要健全的web2上營銷反作弊場景保護，其需要4大環節：

1：業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗

2：離線策略建模=策略研發+驗證+上線評估

3：現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報

4：決策處置對抗=行為及時阻斷+人機驗證+身份核驗

其中高度依賴黑數據質量，這是成本對抗的基礎，核心有設備指紋庫，IP畫像庫，手機畫像庫，賬號畫像庫等等

最后是持續性的算法加強策略檢測，比如異常檢測，團伙發現，行為檢測等。

總之

web2的基礎不丟才有跑鞋的輝煌，web3是營銷利器但也不是獨立生態，長期看會與web2諸多基建共存。

附錄：https://eips.ethereum.org/EIPS/eip-1271

來源：金色財經

Tags：WEBHOOKHOOETHweb3游戲平臺Chooky InuTyphoon NetworkKTETH

比特幣交易所