當奈飛的NFT忘記了Web2的業務安全_WEB

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司，在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢？

因此在近期X2earn的火熱下，他也創意獨裁出了個WatchtoEran

官方入口：https://lovedeathandart.com/

大概是會員在閱讀影片的過程中，會隨機出現一個二維碼，結合用戶的以太坊地址后，官方會簽名信息，用戶將可以得到一個signature數值，而有了這個值，即可在netflix官方發布的NFT合約中，鑄造一枚nft，如圖美觀度上十分不錯結合上穩定的經濟模型，或許又是一個跑鞋般的頂流項目！

NFT Trader：網站前端因遭遇惡意攻擊現已關閉，請用戶謹防釣魚攻擊:7月3日消息，P2P數字資產交易協議NFT Trader發推稱，其網站已被攻擊，請用戶監控賬戶，謹防網絡釣魚攻擊，NFT Trader網站將被關閉。目前，團隊仍然調查，該平臺已下線，以避免任何其他問題。

NFT Trader表示，這不是協議問題，疑似團隊之外的人在前端插入一個惡意代碼。團隊仍將繼續進行調查。[2023/7/3 22:15:17]

所以一開始，大家還想沖一波會員，來慢慢watch2eran

然而，萬萬沒想到，這個得到官方進行簽名的過程，他竟然毫無防護！

Binance.US：建議用戶將美元余額兌換成穩定幣:金色財經報道，Binance.US在6月22日發給客戶的電子郵件中表示，已解決了幾乎所有延遲的美元提款問題。Binance.US表示，它與銀行合作伙伴合作重新啟用美元提款，但也暗示該選項很快將再次被刪除。該公司寫道，“雖然美元提現目前在該平臺上仍然全面運作，但我們預計我們的銀行合作伙伴將在不久的將來停止該服務。”盡管Binance.US正在尋找新的銀行合作伙伴，但仍建議用戶將美元兌換成穩定幣。它還警告用戶，可能會自動將其美元余額轉換為USDT穩定幣。[2023/6/23 21:55:36]

活動開始，當web3科學家們滿懷激動的心，顫抖的手來抓包想等到收到二維碼的時候，赫然發現，原來掃碼簽名無需同web2賬號進行鑒權，也無風控邏輯？？？

Do Kwon聲稱他不知道自己的密碼是假的:金色財經報道，Do Kwon在6月16日在黑山首都波多里察地方法院的一次聽證會上聲稱，是通過朋友推薦的新加坡一家機構收到了他被抓獲的哥斯達黎加護照；并表示，我拿著哥斯達黎加護照環游了世界。如果我懷疑那是假護照，我就不會去很多國家旅行了。Do Kwon還試圖獲得格拉納達護照，但被拒絕了。不過當被問及那個機構的名字時，他表示不記得了，只知道是中文。

檢察官Harris Chabotich表示，這兩本護照的名字和出生日期不同，這清楚地表明它們是出于惡意而制作的。請給予適當的懲罰。[2023/6/18 21:45:19]

只需要構建以下的請求，將自己的以太坊地址和目標中的系列號寫入

Zhu Su：FTX崩潰使加密行業倒退7到8年，考慮成立新投資公司:11月23日消息，三箭資本聯合創始人Zhu Su在阿布扎比接受采訪時表示，“一些行業內的領頭人稱FTX的崩潰使行業倒退了5年，但我認為更嚴重，大概七到八年，如果根本問題沒有得到妥善解決，倒退的狀況將會更長。”

此外，Zhu Su表示，經過幾個月反思三箭資本的失敗，其正在考慮建立一個全新的投資交易公司，公司也許是一家既投資加密資產又投資傳統資產的全天候基金，“但我認為這件事不太急迫，FTX的骨牌效應才剛剛開始，還有更多的骨牌將會倒下。”[2022/11/23 8:00:26]

mac系統可以直接在命令行發出，window系統可以用postman等請求包構建工具，即可發出此請求。返回的信息里會有一個signature。

然后去官方合約地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入，隨意編寫個data值，以及對應的系列號，即可進行mint。

而且幾小時后，就有同學制作一鍵式腳本，進一步降低操作難度。

由于此nft獲取的代價太低，基本平均在當前20wei的gas成本下，截止5.20-9點已經有5W次交易，大多數是mint的操作。當然出了bug后，基本后續此nft的價格不會太高，大家也就相當于參與體驗玩玩

但是對于Netflix而言，一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。

雖然某種意義上，這個bug的傳播效果似乎完全超出了活動本身的策劃。。

安全的角度解讀

1：屬于標準設計模式，結合eip1271的驗簽方式來確定白名單資格，1271是為合約進行簽名所設計的，其指定的isValidSignature可以設定任意驗簽邏輯，如支持單簽、多簽、門限簽名等。

如果不做這樣的簽名驗證，則在此活動中，如何管控mint白名單就是個高成本的問題了。

因為活動本身在于激勵用戶持續觀看，

如果積累一段時間的白名單merkle樹根到鏈上，則用戶受到激勵反饋會比較長

而如果每得到一個用戶，就上白名單一次，就會造成活動方的高成本

2：其次合約還會再將此錢包地址系列號，納入hasMinted中，防止重放，并且實現的方式是先修改權限再操作mint，也很到位。

web2

但是從web2的角度看，他獲取官方簽名的環節，其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券，一直都是企業的大挑戰。

筆者本身從業web2業務安全風控5年，出于職業習慣，也補充下web2好用的安全防護對抗方案。

其核心是依賴于賬號安全體系健全，黑灰產黑名單數據庫的全面性，實時對抗策略的體系。

一個要健全的web2上營銷反作弊場景保護，其需要4大環節：

1：業務風險評估=產品邏輯數據埋點埋點處理動態埋點對抗

2：離線策略建模=策略研發驗證上線評估

3：現網持續對抗=策略灰度策略監控策略迭代動態攻防客訴反饋黑產情報

4：決策處置對抗=行為及時阻斷人機驗證身份核驗

其中高度依賴黑數據質量，這是成本對抗的基礎，核心有設備指紋庫，IP畫像庫，手機畫像庫，賬號畫像庫等等

最后是持續性的算法加強策略檢測，比如異常檢測，團伙發現，行為檢測等。

總之

web2的基礎不丟才有跑鞋的輝煌，web3是營銷利器但也不是獨立生態，長期看會與web2諸多基建共存。

Tags：WEBNFTINTTRAweb3.0幣種有哪些SNFT價格paint幣的介紹ASTRADAO價格

火必