以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Coinw > Info

MIN:當奈飛的NFT忘記了Web2的業務安全

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

FTX CEO: FTX多年來一直就混合資金問題向銀行撒謊:金色財經報道,FTX 新任首席執行官JohnJ.RayIII在一份新報告中稱,早在2020年,FTX的前管理層就客戶現金的可疑動向向銀行撒了謊。?盡管FTX集團將自己描繪成“加密貨幣行業客戶保護工作的先鋒”,但據稱它故意將客戶和公司資金混合在一起,以便搶購豪華房產并對姊妹公司Alameda Research進行投機交易。[2023/6/27 22:01:56]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

Yearn核心開發者提示以太坊客戶端的各個更新版本:9月2日消息,根據Yearn核心開發者banteg轉發的推特用戶@SomerEsat的提示,目前以太坊質押共識客戶端的更新版本如下,Lighthouse的v3.1.0版本、Nimbus的v22.8.2版本、Teku的v22.9.0版本,@SomerEsat建議所有主網用戶在UTC時間9月6日11:34:47(北京時間9月6日19:34:47)Bellatrix升級之前更新。

此前消息,V神提醒用戶需在信標鏈硬分叉前更新客戶端。[2022/9/2 13:04:06]

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

英國搖滾樂隊Muse將在基于Polygon的NFT平臺Serenade上發行專輯:8月1日消息,英國搖滾樂隊Muse的第九張錄音室專輯“Will of the People”將于8月26日以NFT形式發行,即將發行的新專輯將作為限量版NFT在Polygon驅動的平臺Serenade上發行。并將成為首張進入英國和澳大利亞排行榜的專輯。

據悉,Muse成立于2014年,曾在2007年、2010年和2011年獲得NME最佳英國樂隊獎,在2019年獲得MTV歐洲音樂獎最佳世界舞臺表演獎,并在2011年和2016年獲得格萊美最佳搖滾專輯獎等眾多榮譽。[2022/8/1 2:51:35]

數據:上半年風投機構在區塊鏈公司投入175億美元:7月26日消息,據PitchBook的數據顯示,今年上半年,風投機構在區塊鏈公司投入 175 億美元,這使得加密行業的投資額有望超過去年籌集的 269 億美元。

據悉,在北美地區,加密行業的投資與一般風險投資形成鮮明對比。由于宏觀環境和市場動蕩冷卻投資,上半年一般風險投資從去年同期的 1,582 億美元降至 1,442 億美元。此外,歐洲的加密投資活動也很強勁,今年上半年有 22 億美元的風險投資。(路透社)[2022/7/26 2:37:58]

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271

Tags:WEBNFTFTXMINweb3游戲平臺Artwork NFTMOONCAT Vault (NFTX)Natmin

Coinw
區塊鏈:變局將至:量化去中心化如何重塑科技和治理(上)

現實中,區塊鏈內的去中心化是一個不斷發展的概念。當下,我們必須對各種場景的去中心化作分析,看看它是如何適用于各種應用.

1900/1/1 0:00:00
OPS:淺談區塊鏈技術將如何改進Web3中的DevOps

雖然還處于早期階段,但Web3已經顯示出其能提供區塊鏈和DevOps協同工作的可能。本文討論了DevOps的實踐、流程、工具、及其它將如何與區塊鏈技術相互補充來交付Web3解決方案.

1900/1/1 0:00:00
GAM:Gamefi經濟模型大盤點,終于找到了其中的賺錢策略

前言:我們為什么要寫這樣的理論文章?鏈游,顧名思義就是在區塊鏈上運行的游戲。作為玩家或投資者來說,我們不需要過多了解游戲背后運行機制和技術問題,玩的開心賺的多就行了.

1900/1/1 0:00:00
WOR:跨鏈橋已成行業最大安全隱患,為什么和怎么辦

本文來自 Chainalysis ,由Odaily星球日報譯者Katie辜編譯。!webp\"data-img-size-val=\"6708,4472\"\u002F\\> 繼本周Nomad.

1900/1/1 0:00:00
HAC:詳析承接以太坊天量算力的潛在公鏈

從近期以太坊開發者團隊和Vitalik提供的信息,以及以太坊測試鏈的成功合并可以看出,以太坊轉PoS已幾乎成了既定的事實。以太坊礦工們正在熱切尋找下一條PoW公鏈作為天量算力的承接.

1900/1/1 0:00:00
Humanode:Humanode即將上線,如何申請白名單?

Odaily星球日報譯者|Moni\n    \n由加密投資公司Paradigm孵化的Humanode宣布將于近期發布公開.

1900/1/1 0:00:00
ads