奈飞Netflix是市值达800亿美金的视频类娱乐服务公司,在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢?
因此在近期X2earn的火热下,他也创意独裁出了个WatchtoEran
官方入口:
https://lovedeathandart.com/
大概是会员在阅读影片的过程中,会随机出现一个二维码,结合用户的以太坊地址后,官方会签名信息,用户将可以得到一个signature数值,而有了这个值,即可在netflix官方发布的NFT合约中,铸造一枚nft,如图美观度上十分不错结合上稳定的经济模型,或许又是一个跑鞋般的顶流项目!
本周8种代币将迎来解锁,总计释放价值超2亿美元:6月12日消息,Token Unlocks数据显示,本周有8个加密项目将进行代币解锁,总计释放价值约2.2亿美元。
Aptos (APT)将于6月12日8时解锁4,543,477.94枚代币,价值约2835万美元,占总供应量的0.454%。
Blur(BLUR)将于6月15日2时解锁195,999,999.97枚代币,价值约6264万美元,占总供应量的6.533%。
1inch (1INCH)将于6月15日4时解锁15,000枚代币,价值约4042美元,占总供应量的0.001%。
BitDAO (BIT)将于6月15日8时解锁187,500,000.32枚代币,价值约8019万美元,占总供应量1.951%。
LooksRare (LOOKS)将于6月16日01:24:50解锁37,500,000枚代币,价值约208万美元,占总供应量的3.75%。
Flow (FLOW)将于6月16日8时解锁7,291,666.66枚代币,价值约369万美元,占总供应量的0.507%。
ApeCoin (APE)将于6月17日8时解锁15,601,326枚代币,价值约3666万美元,占总供应量的1.56%。
ImmutableX (IMX)将于6月17日18时解锁18,075,990.72枚代币,价值约1086万美元,占总供应量的0.904%。[2023/6/12 21:30:54]
所以一开始,大家还想冲一波会员,来慢慢watch2eran
Amber Group公布其研发的首个NTFS3模糊测试框架:金色财经报道,近日,信息安全行业顶级盛会2023年亚洲黑帽大会(Black Hat Asia 2023)在新加坡圆满落下帷幕。加密金融服务提供Amber Group合伙人兼Web3安全团队负责人吴家志博士和研究员罗元琮在大会中公开了其研发的首个NTFS3模糊测试框架,分析NTFS3文件系统中存在的缺陷和根本原因,以全新视角检视Linux操作系统内NTFS3文件系统的安全性。
Amber Web3安全团队与北京大学合作展开联合研究,以调查Linux系统中存在的漏洞和根本原因。使用他们自己开发的Papora模糊监测框架,该团队识别了NTFS3文件系统中12个零日漏洞;其中9个漏洞补丁已在Linux v6.2发布,另外3个漏洞补丁也已经被文件系统维护者接受。这项重要成就也得到了2023年攻击技术研讨会(WOOT’23)的认可。[2023/5/26 9:44:09]
BIS:非洲央行CBDC其动机与其他新兴市场国家不同:金色财经报道,国际清算银行 (?BIS?) 发表了一篇关于非洲中央银行数字货币 (?CBDC?) 的论文,强调其动机与其他新兴市场国家不同。在进展方面,尼日利亚推出了eNaira零售CBDC,?加纳正处于试点阶段,?南非进行了批发CBDC 试点。在 19 个非洲中央银行中,CBDC 的首要动机是提供中央银行数字现金,其次是更好的金融包容性,并作为实施货币政策的工具。使用可编程货币作为优先事项得分非常低。
关于部署数字货币的三大担忧是网络安全风险,其次是对非中介银行的担忧,以及 CBDC 是否会吸引消费者。总体而言,与世界其他地区相比,BIS 评估非洲大陆在 CBDC 部署方面的进展较慢。[2022/11/25 8:06:13]
然而,万万没想到,这个得到官方进行签名的过程,他竟然毫无防护!
ETH跌破1100美元:ETH跌破1100美元,现报1099.31美元,日内跌幅达到19.27%,行情波动较大,请做好风险控制。[2022/6/14 4:24:38]
活动开始,当web3科学家们满怀激动的心,颤抖的手来抓包想等到收到二维码的时候,赫然发现,原来扫码签名无需同web2账号进行鉴权,也无风控逻辑???
只需要构建以下的请求,将自己的以太坊地址和目标中的系列号写入
mac系统可以直接在命令行发出,window系统可以用postman等请求包构建工具,即可发出此请求。返回的信息里会有一个signature。
巴厘岛已成为全球加密爱好者的首选目的地:金色财经消息,据英国《金融时报》(FT)报道,巴厘岛已成为全球加密爱好者的首选目的地。俄罗斯区块链企业家马克西门卡表示,在巴厘岛很容易结识其他志同道合的国际人士,称该地区为“加密中心”。援引印度尼西亚加密货币交易所 Tokocrypto 的数据称,巴厘岛的加密用户已从 2021 年初的 808 人跃升至 37,660 人。(cryptoglobe)[2022/5/23 3:35:52]
然后去官方合约地址
https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract
写入,随意编写个data值,以及对应的系列号,即可进行mint。
而且几小时后,就有同学制作一键式脚本,进一步降低操作难度。
由于此nft获取的代价太低,基本平均在当前20wei的gas成本下,截止5.20-9点已经有5W次交易,大多数是mint的操作。当然出了bug后,基本后续此nft的价格不会太高,大家也就相当于参与体验玩玩
但是对于Netflix而言,一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。
虽然某种意义上,这个bug的传播效果似乎完全超出了活动本身的策划。。
从安全的角度解读
web3
我们来分析下合约可以看出,其实他web3部分的合约安保措施是相对到位的。
1:属于标准设计模式,结合eip1271的验签方式来确定白名单资格,1271是为合约进行签名所设计的,其指定的isValidSignature可以设定任意验签逻辑,如支持单签、多签、门限签名等。
如果不做这样的签名验证,则在此活动中,如何管控mint白名单就是个高成本的问题了。
因为活动本身在于激励用户持续观看,
如果积累一段时间的白名单merkle树根到链上,则用户受到激励反馈会比较长
而如果每得到一个用户,就上白名单一次,就会造成活动方的高成本
2:其次合约还会再将此钱包地址+系列号,纳入hasMinted中,防止重放,并且实现的方式是先修改权限再操作mint,也很到位。
web2
但是从web2的角度看,他获取官方签名的环节,其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券,一直都是企业的大挑战。
笔者本身从业web2业务安全风控5年,出于职业习惯,也补充下web2好用的安全防护对抗方案。
其核心是依赖于账号安全体系健全,黑灰产黑名单数据库的全面性,实时对抗策略的体系。
一个要健全的web2上营销反作弊场景保护,其需要4大环节:
1:业务风险评估=产品逻辑+数据埋点+埋点处理+动态埋点对抗
2:离线策略建模=策略研发+验证+上线评估
3:现网持续对抗=策略灰度+策略监控+策略迭代+动态攻防+客诉反馈+黑产情报
4:决策处置对抗=行为及时阻断+人机验证+身份核验
其中高度依赖黑数据质量,这是成本对抗的基础,核心有设备指纹库,IP画像库,手机画像库,账号画像库等等
最后是持续性的算法加强策略检测,比如异常检测,团伙发现,行为检测等。
总之
web2的基础不丢才有跑鞋的辉煌,web3是营销利器但也不是独立生态,长期看会与web2诸多基建共存。
附录:https://eips.ethereum.org/EIPS/eip-1271
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。