奈飞Netflix是市值达800亿美金的视频类娱乐服务公司,在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢?
因此在近期X2earn的火热下,他也创意独裁出了个WatchtoEran
官方入口:https://lovedeathandart.com/
大概是会员在阅读影片的过程中,会随机出现一个二维码,结合用户的以太坊地址后,官方会签名信息,用户将可以得到一个signature数值,而有了这个值,即可在netflix官方发布的NFT合约中,铸造一枚nft,如图美观度上十分不错结合上稳定的经济模型,或许又是一个跑鞋般的顶流项目!
Aptos一周内的交易量突破150万笔:金色财经报道,Aptos在7月5日分享了关于其网络交易活动的一个更新,在过去一周内交易量超越了150万笔,每天最低记录的交易量徘徊在17.8万至17.9万之间,有几天的交易量超过20万,最高峰达到23万。[2023/7/6 22:21:36]
所以一开始,大家还想冲一波会员,来慢慢watch2eran
然而,万万没想到,这个得到官方进行签名的过程,他竟然毫无防护!
活动开始,当web3科学家们满怀激动的心,颤抖的手来抓包想等到收到二维码的时候,赫然发现,原来扫码签名无需同web2账号进行鉴权,也无风控逻辑???
区块链协会在Grayscale的比特币ETF上诉中提交了支持性简报:金色财经报道,区块链协会提交了一份简报,进一步说明 Grayscale与证券交易委员会因未能批准现货比特币交易所交易基金而发生的法律对峙。今天在 Grayscale诉讼中提交了一份法庭之友简报。法庭之友简报允许经法院批准的外部当事人提供额外的信息或见解,尽管它们不能引入新的事实。区块链协会的简报支持 Grayscale 的论点,即SEC拒绝其将其旗舰基金转换为ETF的申请违反了其程序。它在收到拒绝后不久就开始了上诉程序。[2022/10/19 17:36:55]
只需要构建以下的请求,将自己的以太坊地址和目标中的系列号写入
新加坡副总理发布《金融服务业转型地图(ITM)2025》:金色财经报道,新加坡副总理兼财政部长兼新加坡金融管理局(MAS)副主席黄循财先生今天发布了《金融服务业转型地图(ITM)2025》。ITM 2025制定了进一步发展新加坡作为亚洲领先国际金融中心的增长战略。
其中包括,探索分布式账本技术在有前景的用例(如跨境支付、贸易融资和资本市场)中的潜力。
支持金融和实体经济资产的代币化(例如,Project Guardian是金融服务部门的一项合作倡议,旨在探索资产代币化的经济潜力和增值用例)。
实现数字货币连接(例如,如果新加坡金融管理局决定在未来发行数字新加坡元,Project Orchid旨在建立必要的技术基础设施和能力)。[2022/9/15 6:59:02]
mac系统可以直接在命令行发出,window系统可以用postman等请求包构建工具,即可发出此请求。返回的信息里会有一个signature。
Take-Two宣布以127 亿美元完成对手机游戏巨头Zynga的收购:金色财经报道,Take-Two宣布以127 亿美元价格完成对手机游戏巨头 Zynga的收购。根据合并协议的条款,Zynga 股东每股 Zynga 普通股获得 3.50 美元现金和 0.0406 股 Take-Two 普通股。该交易于 1 月首次宣布,将把 Zynga 的热门游戏纳入 Take-Two 所有权,包括“Farmville”和“Words With Friends”。
此前金色报道,社交游戏巨头Zynga将推出NFT和区块链游戏。[2022/5/24 3:36:43]
然后去官方合约地址
https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract
写入,随意编写个data值,以及对应的系列号,即可进行mint。
而且几小时后,就有同学制作一键式脚本,进一步降低操作难度。
由于此nft获取的代价太低,基本平均在当前20wei的gas成本下,截止5.20-9点已经有5W次交易,大多数是mint的操作。当然出了bug后,基本后续此nft的价格不会太高,大家也就相当于参与体验玩玩
但是对于Netflix而言,一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。
虽然某种意义上,这个bug的传播效果似乎完全超出了活动本身的策划。。
安全的角度解读
1:属于标准设计模式,结合eip1271的验签方式来确定白名单资格,1271是为合约进行签名所设计的,其指定的isValidSignature可以设定任意验签逻辑,如支持单签、多签、门限签名等。
如果不做这样的签名验证,则在此活动中,如何管控mint白名单就是个高成本的问题了。
因为活动本身在于激励用户持续观看,
如果积累一段时间的白名单merkle树根到链上,则用户受到激励反馈会比较长
而如果每得到一个用户,就上白名单一次,就会造成活动方的高成本
2:其次合约还会再将此钱包地址系列号,纳入hasMinted中,防止重放,并且实现的方式是先修改权限再操作mint,也很到位。
web2
但是从web2的角度看,他获取官方签名的环节,其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券,一直都是企业的大挑战。
笔者本身从业web2业务安全风控5年,出于职业习惯,也补充下web2好用的安全防护对抗方案。
其核心是依赖于账号安全体系健全,黑灰产黑名单数据库的全面性,实时对抗策略的体系。
一个要健全的web2上营销反作弊场景保护,其需要4大环节:
1:业务风险评估=产品逻辑数据埋点埋点处理动态埋点对抗
2:离线策略建模=策略研发验证上线评估
3:现网持续对抗=策略灰度策略监控策略迭代动态攻防客诉反馈黑产情报
4:决策处置对抗=行为及时阻断人机验证身份核验
其中高度依赖黑数据质量,这是成本对抗的基础,核心有设备指纹库,IP画像库,手机画像库,账号画像库等等
最后是持续性的算法加强策略检测,比如异常检测,团伙发现,行为检测等。
总之
web2的基础不丢才有跑鞋的辉煌,web3是营销利器但也不是独立生态,长期看会与web2诸多基建共存。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。