3. november 2021-án, Booba (a kiadót létrehozó francia rapper La Piraterie zene) tegyen egy 5 darab NFT-t eladó, ezekből az animált kártyákból összesen 5000 darab. Az összes ilyen NFT-t néhány nap alatt eladták 150 ETH-ért (egyenként 0.006 ETH), ami ezen a napon több mint 700.000 XNUMX dollár. Bónuszként az egyik NFT szerencsés tulajdonosai láthatták az exkluzív zenei videót TN mivel a 8. november 2021..
Les rappeurs m'envient, sont tous en galère. - Boulbi, Ouest Side
Kicsit kíváncsiak voltunk, és kíváncsiak voltunk, hogyan védik a zenei videót, és élvezhetjük-e akkor is, ha nem veszünk NFT.
Hogyan működik a zenei videó védelme?
A videó megtekintéséhez az NFT-k tulajdonosainak meg kell látogatniuk az oldalt /mon-nft és kriptopénztárcájukat (például Metamask vagy WalletConnect) használják az Ethereum üzenet aláírására "Pour accéder à TN, merci de bien vouloir signer ce message" ugyanazzal a pénztárcával, mint amivel az NFT-ket vásárolták. Az aláírást követően a webböngésző egy POST-kérelmet küld el a következő formátumú JSON-törzstel: a webes szolgáltatás Az AWS-en tárolt:
Néhány teszt azt mutatja, hogy az alapértelmezetttől eltérő üzeneteket a rendszer nem utasítja el, amíg JSON-kódolásúak. Például: [1337] és a "blah" érvényesnek számítanak, azonban a JSON-ban nem szereplő üzenetek egy internal error azonnal.
Ha az Ethereum címhez tartozó aláírás (wallet) És message érvényesek, a szerver ellenőrzi, hogy a pénztárca valóban megvásárolta az egyik NFT-t, ellenkező esetben a hiba Tu ne possèdes aucun des NFTs visszakerül. Ez az utolsó lépés egy kicsit több időt vesz igénybe, ezért fogalmazzuk meg a következő hipotézist. Ha találunk az interneten egy nyilvános kulcsot, amely megfelel a következő 2 feltételnek:
A nyilvános kulcs egy JSON-üzenetet írt alá, és a kapcsolódó aláírás nyilvános;
A pénztárca vásárolt legalább egy NFT-t.
lehetséges, hogy újra lejátszhatja az üzenetet és az aláírást az AWS-kiszolgálón a zenei videó lekéréséhez.
A BOOBA TN Az NFT egy ERC-20 token is (B2O_TN) vert az intelligens szerződés 0x3b73…94dd. Először az összes NFT-tulajdonos felsorolásával kezdtük, köszönhetően etherscan.io. A cikk írásakor legalább 3484 ilyen NFT-nek 1 tulajdonosa volt. 1516 pénztárcának több is van ugyanabból az NFT-ből, valószínűleg azért, hogy később ezek közül egyet eladjanak.
Un jour de mon salaire c'est leur assurance vie. - Boulbi, Ouest Side
1. kísérlet – etherscan.io
Az Ethereum üzenetek kódolása a personal_sign formátum ("x19Ethereum Signed Message:n" + length(message) + message), mielőtt ECDSA-val aláírták volna. Mivel az Ethereum-tranzakciók más formátumba (RLP) vannak kódolva, a tranzakciós aláírások nem ismerhetők fel érvényes üzenetaláírásként. Másképp fogalmazva, az üzenetaláírások nem találhatók az Ethereum blokkláncon.
Az első hely, ahol a láncon kívüli Ethereum üzeneteket találtuk, az etherscan.io, amely webes felületet biztosít ellenőrzése egy Ethereum üzenetaláírást, majd mentse el, hogy nyilvános URL-en keresztül elérhető legyen. Először letöltöttük az ezen a szolgáltatáson keresztül mentett Ethereum üzeneteket: etherscan.io/verifiedSignatures.
Például verifySig/2642 azt mutatja, hogy az NFT tulajdonosa Unalmas majom #6743 bebizonyította, hogy ő a Twitter-fiók tulajdonosa is majom6743:
Az NFT-k tulajdonosa is Booba TN ahogy ez látható tranzakció. Azonban még ha az aláírás érvényes is, az üzenet nem JSON formátumú, és az AWS-kiszolgáló nem ismeri fel.
Tu n'peux que gagner quand t'as rien à perdre. - Magnifique, Trône
2. próbálkozás – snapshot.org
a weboldal snapshot.org lehetővé teszi az egyének számára, hogy Ethereum pénztárcájuk használatával szavazzanak a javaslatokra: A Snapshot egy off-chain, gáz nélküli, több kormányzású ügyfél, könnyen ellenőrizhető és nehezen megkérdőjelezhető eredményekkel. A szavazatok véletlenül JSON formátumban vannak.
A GraphQL felületen lehet lekérdezni a szavazatok adatbázisát. Például a következő minimális GraphQL-kérés szavazati azonosítókat ad vissza, ahol a szavazó címe van 0x668248dF4595e09Aa253B31478312748078F7a20:
A lekérdezés eredménye azt mutatja, hogy ezt a címet 2 szavazathoz használták:
A Booba TN NFT-t birtokló pénztárcák által aláírt szavazatok teljes egészében lekérhetők egyetlen GraphQL-kéréssel. 689 egyedi szavazónál 140 eredmény található.
Felhívjuk figyelmét, hogy az URL egy idő után lejár, és már nem érvényes.
Következtetés
Ez a blogbejegyzés azt mutatja, hogy még ha az NFT-eseményt működtető kriptográfia megbízható, alapvető támadás újrajátszása elegendő volt a zenei videó védelmének feltöréséhez. A javítás egyszerű: az AWS-kiszolgálónak küldött üzenetet el kell utasítani, ha nem egyezik a kriptopénztárcának küldött üzenettel.
La piraterie n’est jamais finie! - Walabok, Nero Nemezis
Miután felvették a kapcsolatot (a megfelelő kapcsolat megtalálása volt a legnehezebb rész), a fejlesztők RenaissanceNFT szuper együttműködőek és készségesek voltak. A problémát kevesebb mint egy órán belül megoldották, és a védelmi hozzáférést már nem lehet megkerülni.
