INT:当奈飞的NFT忘记了Web2的业务安全_MINT

奈飞Netflix是市值达800亿美金的视频类娱乐服务公司，在190多个国家/地区拥有2.22亿付费会员如此巨头又怎会放过web3的风口呢？

因此在近期X2earn的火热下，他也创意独裁出了个WatchtoEran

官方入口：https://lovedeathandart.com/

大概是会员在阅读影片的过程中，会随机出现一个二维码，结合用户的以太坊地址后，官方会签名信息，用户将可以得到一个signature数值，而有了这个值，即可在netflix官方发布的NFT合约中，铸造一枚nft，如图美观度上十分不错结合上稳定的经济模型，或许又是一个跑鞋般的顶流项目！

PoS联盟发布关于流动性质押法律方面的白皮书:2月22日消息，非营利行业联盟PoS联盟(POSA)发布了两份白皮书，研究存款代币在美国证券和税法中的地位。这些文件是由10多个行业组织的代表撰写的。根据附带的声明，这些文件旨在为“有意义的立法编纂或阐明提供一个框架”。它们还旨在为自我监管标准提供基础。

POSA在“流动性抵押的美国联邦所得税分析”中指出，根据一般原则，流动性抵押应该遵守资本利得税规则。白皮书写道：“票据代币在数字世界中证明无形商品的所有权，与仓库收据、提单、码头担保和其他所有权证明文件在物理世界中证明有形商品的所有权基本上相同。根据资本利得税，只有在出售或其他处置加密资产以换取在种类或程度上存在重大差异的财产时，流动性质押活动才会成为应税事件，这通常被称为资产的变现。”这一推理得到了一个论点的支持，即流动质押协议(智能合约)不应被视为一个独立的实体，因为它缺乏分享利润的第二方。它总结道:“如果流动质押没有如上所述的应税事件，那么流动质押必须努力应对其继续拥有所涉加密资产的税收问题。”（Cointelegraph）[2023/2/22 12:21:15]

所以一开始，大家还想冲一波会员，来慢慢watch2eran

动态 | 腾讯发布关于整治ICO 虚拟货币乱象的相关措施声明:据腾讯科技，腾讯今日发布关于整治ICO、虚拟货币乱象的相关措施声明。腾讯表示，在支付渠道上，针对违规行为，将采取以下措施： 1、限制问题平台收款帐号的收款功能，禁止其使用微信支付进行虚拟货币交易收款； 2、限制个人卖家帐号的收款额度，限制虚拟货币相关交易收款； 3、对日常交易进行实时监控，根据监控结果对命中的交易进行风险严重程度评估，或将采取直接拦截措施。 目前腾讯公司已建立了针对性的风控模型来识别个人虚拟货币转账交易，对平台发现及用户举报的违规行为，会第一时间采取相应的措施。[2018/8/24]

然而，万万没想到，这个得到官方进行签名的过程，他竟然毫无防护！

Zaif关于期货交易完结后的易用规约变更的通知:伴随期货交易结束，Zaif将从4月2日开始对期货交易以及比特币AirFX的利用规约进行变更。伴随这次变更，需要用户再次统一利用规约。详情请参考“?Zaif Exchange 利用规约”。[2018/3/30]

活动开始，当web3科学家们满怀激动的心，颤抖的手来抓包想等到收到二维码的时候，赫然发现，原来扫码签名无需同web2账号进行鉴权，也无风控逻辑？？？

只需要构建以下的请求，将自己的以太坊地址和目标中的系列号写入

mac系统可以直接在命令行发出，window系统可以用postman等请求包构建工具，即可发出此请求。返回的信息里会有一个signature。

花旗银行已将Robinhood评级从买入下调至中性:金色财经报道，花旗银行已将Robinhood评级从买入下调至中性，并将其目标价从11美元下调至10美元。

花旗指出，Robinhood面临潜在风险，包括：美国证券交易委员会即将出台的市场结构提案、股市谨慎前景、以及FTX破产对加密货币交易收入的影响。花旗预计Robinhood的交易收入在2022年下降超过50%之后，2023年将继续下降超过50%。（CoinDesk）[2022/12/13 21:42:05]

然后去官方合约地址

https://etherscan.io/address/0xfd43d1da000558473822302e1d44d81da2e4cc0d#writeContract

写入，随意编写个data值，以及对应的系列号，即可进行mint。

而且几小时后，就有同学制作一键式脚本，进一步降低操作难度。

由于此nft获取的代价太低，基本平均在当前20wei的gas成本下，截止5.20-9点已经有5W次交易，大多数是mint的操作。当然出了bug后，基本后续此nft的价格不会太高，大家也就相当于参与体验玩玩

但是对于Netflix而言，一个可能媲美stepn的创意就在最基础的web2业务流程中被爆破了。

虽然某种意义上，这个bug的传播效果似乎完全超出了活动本身的策划。。

安全的角度解读

1：属于标准设计模式，结合eip1271的验签方式来确定白名单资格，1271是为合约进行签名所设计的，其指定的isValidSignature可以设定任意验签逻辑，如支持单签、多签、门限签名等。

如果不做这样的签名验证，则在此活动中，如何管控mint白名单就是个高成本的问题了。

因为活动本身在于激励用户持续观看，

如果积累一段时间的白名单merkle树根到链上，则用户受到激励反馈会比较长

而如果每得到一个用户，就上白名单一次，就会造成活动方的高成本

2：其次合约还会再将此钱包地址系列号，纳入hasMinted中，防止重放，并且实现的方式是先修改权限再操作mint，也很到位。

web2

但是从web2的角度看，他获取官方签名的环节，其攻破成本几乎为0。这点可以类比传统web2上营销发行优惠券，一直都是企业的大挑战。

笔者本身从业web2业务安全风控5年，出于职业习惯，也补充下web2好用的安全防护对抗方案。

其核心是依赖于账号安全体系健全，黑灰产黑名单数据库的全面性，实时对抗策略的体系。

一个要健全的web2上营销反作弊场景保护，其需要4大环节：

1：业务风险评估=产品逻辑数据埋点埋点处理动态埋点对抗

2：离线策略建模=策略研发验证上线评估

3：现网持续对抗=策略灰度策略监控策略迭代动态攻防客诉反馈黑产情报

4：决策处置对抗=行为及时阻断人机验证身份核验

其中高度依赖黑数据质量，这是成本对抗的基础，核心有设备指纹库，IP画像库，手机画像库，账号画像库等等

最后是持续性的算法加强策略检测，比如异常检测，团伙发现，行为检测等。

总之

web2的基础不丢才有跑鞋的辉煌，web3是营销利器但也不是独立生态，长期看会与web2诸多基建共存。

标签：WEBINTMINTMINWeboo Swapint币最新价格MintMe.com Coingemini直播看战至巅峰是哪一天

OKB热门资讯