以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

MIN:當奈飛的NFT忘記了Web2的業務安全

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?

因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran

官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

加密貨幣交易所CoinEx支付60萬罰款與紐約州和解:金色財經報道,紐約州檢察長Letitia James此前起訴加密貨幣交易所CoinEx,指控其未按照法律程序向紐約州注冊的情況下進行交易;雙方日前達成和解,CoinEx將退還紐約投資者總額超過110萬元的款項,并向紐約州支付60萬元罰款。檢察長Letitia James發布聲明指出經過數月的協商,雙方達成和解協議成功向CoinEx追討回屬于4691名紐約投資者、總額為117萬2971元的還款,對方也同意支付紐約州60萬元罰款;此外,該公司宣布將從美國撤出其平臺和服務,絕不再在本地發行、銷售、或購買證券和進行商品交易。CoinEx必須實施地理封鎖,防止紐約IP地址的用戶訪問其平臺,同時禁止協助美國客戶創建新帳號,現有的美國顧客也需從平臺上撤回加密貨幣的投資。(雅虎財經)[2023/6/19 21:47:35]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

Gemini已支持在克羅地亞、塞浦路斯、匈牙利等地區使用:11月7日消息,加密交易所Gemini宣布,克羅地亞、塞浦路斯、匈牙利、羅馬尼亞和斯洛文尼亞的用戶可以通過Gemini的網站和移動應用程序購買、出售和存儲100多種加密貨幣。

消費者可以開設Gemini賬戶,通過借記卡、銀行轉賬存入歐元(EUR)和英鎊(GBP),并使用Apple Pay或Google Pay購買加密貨幣。[2022/11/8 12:29:51]

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!

活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???

Argo Blockchain預計籌集2500萬-3500萬美元用于擴張:金色財經報道,比特幣礦商Argo Blockchain首席執行官Peter Wall周四在投資者電話會議上表示,比特幣礦商Argo Blockchain (ARBK) 預計籌集 2500 萬至 3500 萬美元用于擴張資金,并在明年第一季度達到其 4.1 exahash/秒 (EH/s),[2022/8/25 12:48:34]

只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。

研究機構Geometry將正式啟動并支持采用零知識系統和應用數學的Web3項目:6月28日消息,專注于零知識隱私技術的研究和投資公司Geometry已運營幾個月時間,負責人為Aztec Network前首席執行官Tom Walton-Pocock,團隊成員還包括Celo密碼學負責人Kobi Gurkan和Oiler Network前增長主管Gregoire Le Jeune。Geometry表示,其還獲得了由對沖基金經理Alan Howard支持的孵化器WebN Group的孵化。

Geometry已領投以色列零知識半導體公司Ingonyama的400萬美元種子輪融資,并領投了對NFT市場流動性項目Soap Labs的200萬美元種子輪融資,以及參投了跨鏈基礎設施Socket的種子輪融資。[2022/6/28 1:36:24]

然后去官方合約地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。

而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩

但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。

雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

安全的角度解讀

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。

如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。

因為活動本身在于激勵用戶持續觀看,

如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長

而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本

2:其次合約還會再將此錢包地址系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。

web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。

筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。

其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。

一個要健全的web2上營銷反作弊場景保護,其需要4大環節:

1:業務風險評估=產品邏輯數據埋點埋點處理動態埋點對抗

2:離線策略建模=策略研發驗證上線評估

3:現網持續對抗=策略灰度策略監控策略迭代動態攻防客訴反饋黑產情報

4:決策處置對抗=行為及時阻斷人機驗證身份核驗

其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等

最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。

總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。

Tags:WEBMININTNEXweb3.0幣怎么提現到賬號goldminer幣背后資金實力PRINTdigifinex是什么

幣安app下載
USD:7/27暑期優惠好禮 充值交易天天抽

尊敬的唯客用戶您好! 暑期優惠好禮充值交易天天抽活動時間:2022/07/1312:00至2022/07/2611:59 活動三:滿額天天抽 活動方式: 活動期間單日充值滿100USDT.

1900/1/1 0:00:00
數字人:上海成立張江元宇宙創新發展聯盟,張江元宇宙生態已涵蓋2400家企業

7月30日消息,在日前舉行的2022上海元宇宙峰會上,張江元宇宙創新發展聯盟正式成立。首批成員包括百度、維智科技、達觀數據、SAP、埃森哲、上海科技大學等20余家政、產、學、研、資各領域的專業機.

1900/1/1 0:00:00
以太坊:隨著以太坊流入氣球,看漲情緒蔓延到機構投資者

機構投資者長期以來一直對以太坊表現出看跌情緒。按市值計算的第二大加密貨幣最初引起了他們的注意,但表現不如預期,隨后出現大量資金外流.

1900/1/1 0:00:00
比特幣:泡沫褪去,DeFi還剩下什么?

原文作者:DanielLi在過去的半年里加密資產行業內外,金融風險的多米諾骨牌效應連續上演。加密資產行業內部Luna崩盤成為了此次危機的導火索,緊接著三箭資本申請破產,加密經濟商VoyagerD.

1900/1/1 0:00:00
SDT:暑期優惠好禮【活動五獎勵已發放】

尊敬的唯客用戶您好! 暑期優惠好禮充值交易天天抽活動時間:2022/07/1312:00至2022/07/2611:59 活動五:跟單加碼贈 活動方式: 福布斯:BitGo計劃以12億美元估值籌.

1900/1/1 0:00:00
WEB3:Web3游戲設計系列報告:符合Midcore Gamers的Web3游戲更易成功(一)

關鍵結論 MidcoreGamers偏策略研究型,且愿意通過在游戲內付費的方式獲得成就。這與Web3用戶的行為特征高度重合.

1900/1/1 0:00:00
ads