以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > AAVE > Info

當奈飛的NFT忘記了Web2的業務安全_WEB

Author:

Time:1900/1/1 0:00:00

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司,在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢?因此在近期X2earn的火熱下,他也創意獨裁出了個WatchtoEran官方入口:https://lovedeathandart.com/

大概是會員在閱讀影片的過程中,會隨機出現一個二維碼,結合用戶的以太坊地址后,官方會簽名信息,用戶將可以得到一個signature數值,而有了這個值,即可在netflix官方發布的NFT合約中,鑄造一枚nft,如圖美觀度上十分不錯結合上穩定的經濟模型,或許又是一個跑鞋般的頂流項目!

軟銀集團愿景基金最近一個季度實現稅前利潤610億日元:金色財經報道,軟銀集團連續第三個季度出現虧損,盡管其旗艦愿景基金投資部門有所復蘇,但截至 6 月份的季度仍虧損 4776 億日元(合 33 億美元)。軟銀的嚴重虧損被愿景基金部門的改善所部分抵消,該部門因全球科技估值回升而實現了 1,597.7 億日元的投資收益。這些收益包括歸屬于軟銀子公司的收益。

愿景基金部門包括愿景基金 1 和 2 以及價值 76 億美元的拉丁美洲基金,最近一個季度實現稅前利潤 610 億日元,而去年同期虧損 2.3 萬億日元。[2023/8/8 21:31:50]

Ankr宣布即將推出Flare RPC:7月8日消息,Ankr發文稱,很快將推出Flare RPC(遠程過程調用)。其Flare RPC將錢包、命令行界面或DApp與Flare區塊鏈連接起來,充當信使或區塊鏈路由器,在Flare節點、DApp和最終用戶之間中繼鏈上信息,以便執行交易、填充錢包余額、獲取所有權信息等。

開發者將能夠訪問Flare公共和高級RPC,發出請求調用并接收與其運行全節點所獲得的結果相同的信息返回,構建數據連接且可擴展的DApp。

Flare RPC端點是開發者直接與Flare網絡交互的網關,無需通過DevOps建立自己的Flare節點。Ankr提供地理分布式Flare RPC,由在全球運行的區塊鏈節點組成,以實現低延遲和可靠的連接。[2023/7/8 22:25:01]

所以一開始,大家還想沖一波會員,來慢慢watch2eran

Blockchain Capital任命新的平臺負責人和首席研究工程師:金色財經報道,Blockchain Capital,LLC宣布任命Alan Curtis為平臺負責人,Caleb Tebbe為首席研究工程師。Alan將負責在投資后支持創始人和投資組合公司,Caleb將負責支持投資組合公司的工程團隊、研究和技術盡職調查。

Caleb從Core Scientific加入Blockchain Capital,擔任產品和工程高級副總裁。Caleb是RADAR的聯合創始人和首席技術官。在此之前,他是Coinbase的早期數據科學工程師。

Blockchain Capital, LLC Blockchain Capital總部位于舊金山,是第一家專門投資于區塊鏈技術領域的專業風險投資公司。(prnewswire)[2022/10/20 16:31:54]

Matrixport聘用Coinbase前高管建立美國市場業務:6月18日消息,加密金融服務公司Matrixport已經聘用Coinbase前高管Anthony DeMartino負責建立其美國市場業務,后者曾在Coinbae擔任風險策略、機構DeFi和衍生品交易業務負責人。[2022/6/18 4:36:45]

然而,萬萬沒想到,這個得到官方進行簽名的過程,他竟然毫無防護!活動開始,當web3科學家們滿懷激動的心,顫抖的手來抓包想等到收到二維碼的時候,赫然發現,原來掃碼簽名無需同web2賬號進行鑒權,也無風控邏輯???只需要構建以下的請求,將自己的以太坊地址和目標中的系列號寫入

mac系統可以直接在命令行發出,window系統可以用postman等請求包構建工具,即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入,隨意編寫個data值,以及對應的系列號,即可進行mint。而且幾小時后,就有同學制作一鍵式腳本,進一步降低操作難度。

由于此nft獲取的代價太低,基本平均在當前20wei的gas成本下,截止5.20-9點已經有5W次交易,大多數是mint的操作。當然出了bug后,基本后續此nft的價格不會太高,大家也就相當于參與體驗玩玩但是對于Netflix而言,一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上,這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出,其實他web3部分的合約安保措施是相對到位的。

1:屬于標準設計模式,結合eip1271的驗簽方式來確定白名單資格,1271是為合約進行簽名所設計的,其指定的isValidSignature可以設定任意驗簽邏輯,如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證,則在此活動中,如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看,如果積累一段時間的白名單merkle樹根到鏈上,則用戶受到激勵反饋會比較長而如果每得到一個用戶,就上白名單一次,就會造成活動方的高成本2:其次合約還會再將此錢包地址+系列號,納入hasMinted中,防止重放,并且實現的方式是先修改權限再操作mint,也很到位。web2

但是從web2的角度看,他獲取官方簽名的環節,其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券,一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年,出于職業習慣,也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全,黑灰產黑名單數據庫的全面性,實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護,其需要4大環節:1:業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2:離線策略建模=策略研發+驗證+上線評估3:現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4:決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量,這是成本對抗的基礎,核心有設備指紋庫,IP畫像庫,手機畫像庫,賬號畫像庫等等最后是持續性的算法加強策略檢測,比如異常檢測,團伙發現,行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌,web3是營銷利器但也不是獨立生態,長期看會與web2諸多基建共存。附錄:https://eips.ethereum.org/EIPS/eip-1271

Tags:WEBFlareARELARWeb3Campflare幣上線MAREflare幣投資機構

AAVE
a16z對話以太坊基金會Danny Ryan:合并后路在何方?_以太坊

Odaily星球日報譯者|Moni 以太坊即將迎來有史以來最大規模的升級——“合并”,從此從工作量證明轉向權益證明共識機制.

1900/1/1 0:00:00
全面解讀新公鏈發展現狀:5個熱門板塊,30條新生代公鏈_區塊鏈

TL;DR 1.Meta背景公鏈、隱私公鏈、模塊化區塊鏈和Layer2公鏈熱度較高;2.新公鏈在可擴展性方面表現搶眼,有幾千到幾萬不等的TPS;3.新公鏈生態發展尚處早期.

1900/1/1 0:00:00
Foresight Ventures市場周報:市場反彈見頂回落,一級融資遭遇冰點_BTC

市場觀點 宏觀流動性 貨幣流動性整體緊縮。市場目前是政策真空期。美聯儲周三公布FOMC紀要,9-11月每月將縮表950億美元.

1900/1/1 0:00:00
一文看懂以太坊的Merge、Surge、Verge、Purge和Splurge_以太坊

"合并",即以太坊轉向PoS網絡,計劃在9月底前在主網上進行,其目的是為了大規模地解鎖區塊鏈的可訪問性.

1900/1/1 0:00:00
全方位盤點新公鏈Aptos生態項目:DeFi占據主導_TOS

Aptos是一個新的獨立L1層區塊鏈項目,旨在實現提供世界上最安全和最適合生產的區塊鏈的愿景。 投資機構:a16z領投,參投方包括BinanceLabs、TigerGlobal、KatieHau.

1900/1/1 0:00:00
星球日報 | MetaMask新增“SetApprovalForAll”合約確認;公鏈Juno Network暫停出塊(7月29日)_NFT

頭條 MetaMask更新至10.18.0版本,新增“SetApprovalForAll”合約確認提示MetaMask已更新至10.18.0版本.

1900/1/1 0:00:00
ads