3 年 2021 月 XNUMX 日, BOOBA (创建该厂牌的法国说唱歌手 海盗音乐)放置一组 5 个 NFT 待售,每张动画卡总共 5000 张。 这些 NFT 在几天内全部以 150 ETH(每张 0.006 ETH)的价格售出,截至目前已超过 700.000 美元。 作为奖励,这些 NFT 之一的幸运所有者被允许观看独家音乐视频 TN 自 8. Nov.2021.
Les rappeurs m'envient, sont tous en galère。
– 布尔比,西侧
我们有点好奇,想知道音乐视频是如何受到保护的,即使我们不购买任何音乐视频是否也可以欣赏它 NFT.
音乐视频保护如何运作?
为了观看视频,NFT 所有者必须访问该页面 /mon-nft 并使用他们的加密钱包(例如 Metamask 或 WalletConnect)来签署以太坊消息 "Pour accéder à TN, merci de bien vouloir signer ce message" 使用与购买 NFT 相同的钱包。 签名后,Web 浏览器会将带有遵循此格式的 JSON 正文的 POST 请求发送到 网络服务 托管在 AWS 上:
一些测试表明,只要是 JSON 编码的消息,与默认消息不同的消息就不会被拒绝。 例如: [1337] 和 "blah" 被认为是有效的,但是不在 JSON 中的消息会触发 internal error 瞬间。
如果与以太坊地址关联的签名(wallet) 以及 message 有效,服务器验证钱包确实购买了其中一种 NFT,否则错误 Tu ne possèdes aucun des NFTs 被返回。 最后一步需要多一点时间,这让我们可以提出以下假设。 如果我们在互联网上找到满足这两个条件的公钥:
- 公钥对 JSON 消息进行签名,并且关联的签名是公开的;
- 该钱包至少购买了一种 NFT。
或许可以在 AWS 服务器上重播消息和签名来检索音乐视频。
BOOBA TN NFT 也是一种 ERC-20 代币(B2O_TN)由智能合约铸造 0x3b73…94dd。 我们首先列出了所有 NFT 所有者,感谢 etherscan.io。 截至撰写本文时,有 3484 名所有者至少拥有其中 1 种 NFT。 1516 个钱包拥有不止一个相同的 NFT,可能会在以后转售其中一个。
今天的工资就是保证竞争的保证。
– 布尔比,西侧
第一次尝试 – etherscan.io
以太坊消息使用以下方式编码 personal_sign 格式("x19Ethereum Signed Message:n" + length(message) + message),然后使用 ECDSA 进行签名。 由于以太坊交易被编码为不同的格式(RLP),交易签名无法被识别为有效的消息签名。 换句话说,在以太坊区块链上找不到消息签名。
我们发现链下以太坊消息的第一个地方是 etherscan.io,它提供了一个 Web 界面 确认 以太坊消息签名并最终保存它以便通过公共 URL 进行访问。 我们首先检索通过此服务保存的所有以太坊消息: etherscan.io/verifiedSignatures.
例如 验证签名/2642 显示 NFT 所有者 无聊的猿 #6743 证明他也是 Twitter 帐户的所有者 猿6743:
他也是 NFT 的所有者 布巴田纳西州 如图所示 交易。 但是,即使签名有效,该消息也不是 JSON 格式,无法被 AWS 服务器识别。
Tu n'peux que gagner quand t'as rien à perdre。
– 壮丽的特隆第二次尝试 – snapshot.org
网站 快照.org 允许个人使用以太坊钱包对提案进行投票: Snapshot 是一个链下无 Gas 多治理客户端,易于验证且难以质疑结果。 投票恰好采用 JSON 格式。
A GraphQL 接口可用于查询投票数据库。 例如,以下最小 GraphQL 请求返回投票 ID,其中投票者地址为
0x668248dF4595e09Aa253B31478312748078F7a20:查询结果显示该地址已被使用2票:
每个拥有 Booba TN NFT 的钱包签署的投票可以通过单个 GraphQL 请求完整检索。 689 位独立选民有 140 个结果。
地址 0x668248dF4595e09Aa253B31478312748078F7a20 买 5 个 Booba TN NFT。 如前所示,该地址还投票支持了以下提案:
相关投票存储在星际文件系统(IPFS)上: QmZL5toFBQrPgNDPTpQCukWtcjWeT5x6nou75wMMTm52zM 和 QmQLSv36j3GLdRjubqpXjpAgwYG77Mop5T9uLCi73r1SUT。 第一次投票的内容是:
请注意,该 URL 一段时间后就会过期,不再有效。
结论
这篇博文表明,即使支持这一 NFT 事件的密码学是合理的,一个基本的 重播攻击 足以打破音乐视频的保护。 修复方法很简单:如果发送到 AWS 服务器的消息与发送到加密钱包的消息不匹配,则应拒绝该消息。
海盗不再是牙买加了!
– 瓦拉博克,尼禄复仇者一旦联系上(找到正确的联系人实际上是最困难的部分),来自的开发人员 文艺复兴NFT 非常合作且反应灵敏。 该问题在不到一个小时内得到解决,并且无法再绕过保护访问。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.ledger.com/blog/booba_nft
- :具有
- :是
- :在哪里
- 000
- 1
- 11
- 2021
- 3
- 5000
- 7
- a
- ACCESS
- 无障碍
- 通
- 地址
- 后
- 所有类型
- 允许
- 还
- an
- 和
- 再
- EPA
- 保健
- AS
- 相关
- 保证
- At
- AWS
- BE
- 很
- before
- 作为
- 位
- blockchain
- 身体
- 奖金
- 买
- 午休
- 浏览器
- 购买
- by
- CAN
- 牌
- 客户
- 条件
- 考虑
- CONTACT
- 内容
- 比赛
- 合作社
- 可以
- 创建
- 加密
- 加密钱包
- 加密技术
- 好奇
- 数据库
- 日期
- 一年中的
- 默认
- 开发
- 不同
- 难
- 不
- 不会
- 每
- 易
- 享受
- 整体
- ERC-20
- ETH
- 复仇
- 燕窝块
- 以太坊交易
- 以太坊钱包
- etherscan
- etherscan.io
- 甚至
- 活动
- 终于
- 独家
- 少数
- 文件
- 找到最适合您的地方
- 寻找
- 姓氏:
- 固定
- 固定
- 以下
- 针对
- 格式
- 发现
- 法语
- 止
- 图
- 硬
- 有
- he
- 托管
- 小时
- 创新中心
- 但是
- HTTPS
- IDS
- if
- in
- 个人
- 例
- 即刻
- 接口
- 网络
- 行星际文件系统
- 成
- IPFS
- 问题
- IT
- 它的
- JSON
- 键
- 名:
- 后来
- 最少
- 莱杰
- 减
- 清单
- 小
- 长
- 使
- 匹配
- 最大宽度
- 满足
- 的话
- 条未读消息
- MetaMask
- 可能
- 最小
- 铸造
- 更多
- 最先进的
- 音乐
- NFT
- NFT
- 十一月
- 2021年 十一月
- of
- on
- 一旦
- 一
- or
- 秩序
- 除此以外
- 己
- 业主
- 业主
- 部分
- 期间
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 可能
- 帖子
- 供电
- 先前
- 大概
- 建议
- 保护
- 保护
- 证明
- 提供
- 国家
- 公钥
- 放
- 说唱歌手
- 确认
- 请求
- 转售
- 响应
- 导致
- 成果
- 回报
- 右
- s
- 同
- 保存
- 保安
- 看到
- 发送
- 服务
- 集
- 应该
- 显示
- 如图
- 作品
- 签署
- 签名
- 签
- 简易
- 自
- 单
- 智能
- 快照
- 出售
- 听起来
- 开始
- 步
- 存储
- 这样
- 足够
- 超级
- 系统
- 需要
- 测试
- 比
- 谢谢
- 这
- 其
- 那里。
- 博曼
- 他们
- Free Introduction
- 通过
- 次
- 至
- 象征
- 合计
- 整体
- 交易
- 交易
- 触发
- 独特
- 网址
- us
- 使用
- 用过的
- 运用
- 确认
- 通过
- 视频
- 参观
- 投票
- 投
- 选民
- 选民
- 票
- 钱包
- 钱包
- 是
- we
- 卷筒纸
- 网页浏览器
- 为
- 这
- WHO
- 维基百科上的数据
- 中
- 工作
- 写作
- 和风网
