MAKE:當奈飛的NFT忘記了Web2的業務安全_fio幣web3

奈飛Netflix是市值達800億美金的視頻類娛樂服務公司，在190多個國家/地區擁有2.22億付費會員如此巨頭又怎會放過web3的風口呢？因此在近期X2earn的火熱下，他也創意獨裁出了個WatchtoEran官方入口：https://lovedeathandart.com/

大概是會員在閱讀影片的過程中，會隨機出現一個二維碼，結合用戶的以太坊地址后，官方會簽名信息，用戶將可以得到一個signature數值，而有了這個值，即可在netflix官方發布的NFT合約中，鑄造一枚nft，如圖美觀度上十分不錯結合上穩定的經濟模型，或許又是一個跑鞋般的頂流項目！

加拿大皇家銀行上季度減持大部分加密貨幣股票:金色財經報道，加拿大皇家銀行（Royal Bank of Canada）有聯系的投資組合經理在上個季度削減大多數與加密貨幣有關的投資組合的股份。

截至去年年底，加拿大皇家銀行的配置者持有逾4.1萬股Signature股票，當時價值近480萬美元。不到兩個月后，這家銀行就倒閉了。目前尚不清楚這些股票是何時出售的，而且這些股票似乎只占當時該行全部持股的一小部分。

其他比特幣礦商盡管被大幅削減，但仍在堅持。與加拿大皇家銀行有業務往來的基金賣出了11只采礦股的股票。Riot、Cipher、Hive和Marathon的賣出活動按股份數量計算都被削減了40%以上。根據提交給 SEC 的文件，RBC 機構投資組合現在包含 480 萬美元的 COIN。[2023/5/18 15:09:51]

Bernstein：Binance收購FTX后將擁有全球加密市場80%以上的份額:金色財經報道，Bernstein周二在一份研究報告中表示，如果收購競爭對手FTX的協議繼續進行，加密貨幣交易所 Binance 將擁有全球加密市場 80% 以上的份額，這可能會引起反壟斷監管機構的注意。

Bernstein 指出，持有非美國業務的 FTX 和 Binance 實體是離岸的，但如果 FTX 在美國和歐洲司法管轄區進行投資，則可能為這些地區的監管機構進行干預提供了理由。[2022/11/9 12:38:47]

所以一開始，大家還想沖一波會員，來慢慢watch2eran

MakerDAO創始人的拆分計劃已投票通過:金色財經報道，MakerDAO社區周一通過了Rune Christensen的 \"Endgame \"提案，并由此為DAO的新治理架構創造了條件。Endgame實施后，將把MakerDAO分解成更小的集群，稱為 \"MetaDAO\"。MakerDAO目前沿著一些戰略核心單位運作，承擔著不同的功能。這些單位都在DAO的管理之下。

然而，在MetaDAO的新范式下，一旦實施，情況將發生變化。MetaDAO將彼此獨立運作，它們將有自己的平行治理結構。這個治理結構將包括每個MetaDAO的獨立代幣和決策架構。其中一個MetaDAO甚至將處理Maker對現實世界資產投資的推動。

周一的投票結束時，80%的選票支持Endgame計劃。然而贊成票中，超過70%來自與Maker創始人有關聯的投票集團，這引發了治理集中化的問題。（the block）[2022/10/29 11:54:55]

然而，萬萬沒想到，這個得到官方進行簽名的過程，他竟然毫無防護！活動開始，當web3科學家們滿懷激動的心，顫抖的手來抓包想等到收到二維碼的時候，赫然發現，原來掃碼簽名無需同web2賬號進行鑒權，也無風控邏輯？？？只需要構建以下的請求，將自己的以太坊地址和目標中的系列號寫入

歐盟官員：數字歐元將專注于個人使用而不是Web3:金色財經報道，歐盟（EU）官員周三表示，在第一階段，零售數字歐元將僅支持由人發起的支付，而不是允許企業結算發票、發放薪水或用于去中心化金融。歐盟尚未決定是否發行央行數字貨幣（CBDC），甚至是否會使用比特幣式的區塊鏈技術。但一項啟用紙幣和硬幣的數字替代品的法案將于明年初公布。

歐洲中央銀行數字歐元項目經理 Evelien Witlox 在歐洲經濟和社會委員會主辦的活動中表示，我們為數字歐元的首次發布挑選了三個用例。三個直接應用將是點對點支付，支持家人和朋友之間的交易，實體店或在線商店中的消費者對企業支付，以及向政府或由政府支付的款項。[2022/9/7 13:14:45]

mac系統可以直接在命令行發出，window系統可以用postman等請求包構建工具，即可發出此請求。返回的信息里會有一個signature。然后去官方合約地址https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

寫入，隨意編寫個data值，以及對應的系列號，即可進行mint。而且幾小時后，就有同學制作一鍵式腳本，進一步降低操作難度。

由于此nft獲取的代價太低，基本平均在當前20wei的gas成本下，截止5.20-9點已經有5W次交易，大多數是mint的操作。當然出了bug后，基本后續此nft的價格不會太高，大家也就相當于參與體驗玩玩但是對于Netflix而言，一個可能媲美stepn的創意就在最基礎的web2業務流程中被爆破了。雖然某種意義上，這個bug的傳播效果似乎完全超出了活動本身的策劃。。

從安全的角度解讀

web3

我們來分析下合約可以看出，其實他web3部分的合約安保措施是相對到位的。

1：屬于標準設計模式，結合eip1271的驗簽方式來確定白名單資格，1271是為合約進行簽名所設計的，其指定的isValidSignature可以設定任意驗簽邏輯，如支持單簽、多簽、門限簽名等。如果不做這樣的簽名驗證，則在此活動中，如何管控mint白名單就是個高成本的問題了。因為活動本身在于激勵用戶持續觀看，如果積累一段時間的白名單merkle樹根到鏈上，則用戶受到激勵反饋會比較長而如果每得到一個用戶，就上白名單一次，就會造成活動方的高成本2：其次合約還會再將此錢包地址+系列號，納入hasMinted中，防止重放，并且實現的方式是先修改權限再操作mint，也很到位。web2

但是從web2的角度看，他獲取官方簽名的環節，其攻破成本幾乎為0。這點可以類比傳統web2上營銷發行優惠券，一直都是企業的大挑戰。筆者本身從業web2業務安全風控5年，出于職業習慣，也補充下web2好用的安全防護對抗方案。其核心是依賴于賬號安全體系健全，黑灰產黑名單數據庫的全面性，實時對抗策略的體系。一個要健全的web2上營銷反作弊場景保護，其需要4大環節：1：業務風險評估=產品邏輯+數據埋點+埋點處理+動態埋點對抗2：離線策略建模=策略研發+驗證+上線評估3：現網持續對抗=策略灰度+策略監控+策略迭代+動態攻防+客訴反饋+黑產情報4：決策處置對抗=行為及時阻斷+人機驗證+身份核驗其中高度依賴黑數據質量，這是成本對抗的基礎，核心有設備指紋庫，IP畫像庫，手機畫像庫，賬號畫像庫等等最后是持續性的算法加強策略檢測，比如異常檢測，團伙發現，行為檢測等。總之

web2的基礎不丟才有跑鞋的輝煌，web3是營銷利器但也不是獨立生態，長期看會與web2諸多基建共存。附錄：https://eips.ethereum.org/EIPS/eip-1271

Tags：WEBDAOMAKEWEB3fio幣web3Metaverse-Daomakerdao官網appweb3游戲賺錢

狗狗幣價格