当奈飞的NFT忘记了web2的业务安全

奈飞Netflix是市值达800亿美金的视频类娱乐服务公司，在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢？

因此在近期X2earn的火热下，他也创意独裁出了个WatchtoEran

官方入口：

https://lovedeathandart.com/

大概是会员在阅读影片的过程中，会随机出现一个二维码，结合用户的以太坊地址后，官方会签名信息，用户将可以得到一个signature数值，而有了这个值，即可在netflix官方发布的NFT合约中，铸造一枚nft，如图美观度上十分不错结合上稳定的经济模型，或许又是一个跑鞋般的顶流项目！

Memeland启动Memecoin代币申领:5月29日消息，NFT项目Memeland发推表示目前已经启动了Memecoin代币申领，并且公布了代币申领地址，该代币可在旗下游戏中使用。此前Memeland背后Meme社区9GAG CEO陈展程发推表示即将推出MEM 代币（可能），并称9GAG的目标是使Memeland成为顶级Web3公司并使Memecoin成为头部代币。[2023/5/29 9:48:50]

所以一开始，大家还想冲一波会员，来慢慢watch2eran

然而，万万没想到，这个得到官方进行签名的过程，他竟然毫无防护！

以太坊上海升级后已有近24万枚ETH解锁提取:金色财经报道，据 Lookonchain 监测，以太坊上海升级后已有近 24 万枚 ETH 解锁提取，价值超 5 亿美元。前 3 大提款地址分别为：

1. Lido：提取 152,780 枚 ETH (63.69%)。

2. Figment：提取 7,135 枚 ETH (2.97%)。

3. Celsius：提取 6,521 枚 ETH (2.72%)。[2023/4/14 14:03:16]

活动开始，当web3科学家们满怀激动的心，颤抖的手来抓包想等到收到二维码的时候，赫然发现，原来扫码签名无需同web2账号进行鉴权，也无风控逻辑？？？

Voyager债权人提出动议，要求任命Voyager破产案受托人接管公司资产:金色财经报道，Voyager的一位债权人和财务律师希望在Voyager Digital的破产案中任命受托人，这将导致Voyager失去对其财产的控制。在2月1日的一项动议中，Voyager债权人Michelle DiVita指控Voyager有“在破产程序开始时已知或合理发现的财务报表不准确和公开虚假陈述的历史”。由于这种破产前的行为，DiVita认为应该任命审查员或受托人负责处理破产程序。

该文件称，Voyager通过发布财务报告，严重低估了其贷款头寸超过10亿美元，从而隐瞒了其贷款活动的真实性质。[2023/2/2 11:42:57]

只需要构建以下的请求，将自己的以太坊地址和目标中的系列号写入

美联储威廉姆斯：美联储或将于2024年降息:金色财经报道，美联储威廉姆斯表示，基本预期是不会出现经济衰退；预计美联储将需要进一步加息，需要加息到多高取决于经济状况；经济前景面临大量下行风险；美联储可能在2024年降息；需要将限制性政策保持到2023年。[2022/11/29 21:08:23]

mac系统可以直接在命令行发出，window系统可以用postman等请求包构建工具，即可发出此请求。返回的信息里会有一个signature。

然后去官方合约地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

XEN在Uniswap V2上的成交额已达3515万美元:金色财经报道，数据显示，XEN在Uniswap V2上的成交额已达3515万美元。据CoinMarketCap页面信息，XEN Crypto Token XEN现报价0.002559美元。[2022/10/10 12:52:02]

写入，随意编写个data值，以及对应的系列号，即可进行mint。

而且几小时后，就有同学制作一键式脚本，进一步降低操作难度。

由于此nft获取的代价太低，基本平均在当前20wei的gas成本下，截止5.20-9点已经有5W次交易，大多数是mint的操作。当然出了bug后，基本后续此nft的价格不会太高，大家也就相当于参与体验玩玩

但是对于Netflix而言，一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。

虽然某种意义上，这个bug的传播效果似乎完全超出了活动本身的策划。。

从安全的角度解读

web3

我们来分析下合约可以看出，其实他web3部分的合约安保措施是相对到位的。

1：属于标准设计模式，结合eip1271的验签方式来确定白名单资格，1271是为合约进行签名所设计的，其指定的isValidSignature可以设定任意验签逻辑，如支持单签、多签、门限签名等。

如果不做这样的签名验证，则在此活动中，如何管控mint白名单就是个高成本的问题了。

因为活动本身在于激励用户持续观看，

如果积累一段时间的白名单merkle树根到链上，则用户受到激励反馈会比较长

而如果每得到一个用户，就上白名单一次，就会造成活动方的高成本

2：其次合约还会再将此钱包地址+系列号，纳入hasMinted中，防止重放，并且实现的方式是先修改权限再操作mint，也很到位。

web2

但是从web2的角度看，他获取官方签名的环节，其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券，一直都是企业的大挑战。

笔者本身从业web2业务安全风控5年，出于职业习惯，也补充下web2好用的安全防护对抗方案。

其核心是依赖于账号安全体系健全，黑灰产黑名单数据库的全面性，实时对抗策略的体系。

一个要健全的web2上营销反作弊场景保护，其需要4大环节：

1：业务风险评估=产品逻辑+数据埋点+埋点处理+动态埋点对抗

2：离线策略建模=策略研发+验证+上线评估

3：现网持续对抗=策略灰度+策略监控+策略迭代+动态攻防+客诉反馈+黑产情报

4：决策处置对抗=行为及时阻断+人机验证+身份核验

其中高度依赖黑数据质量，这是成本对抗的基础，核心有设备指纹库，IP画像库，手机画像库，账号画像库等等

最后是持续性的算法加强策略检测，比如异常检测，团伙发现，行为检测等。

总之

web2的基础不丢才有跑鞋的辉煌，web3是营销利器但也不是独立生态，长期看会与web2诸多基建共存。

附录：https://eips.ethereum.org/EIPS/eip-1271

来源：金色财经

标签：WEBMEMVOYMEMEWEB3.0币MemoparkVOYRMEMEAI价格

MATIC热门资讯