ブーバのミュージックビデオとNFTのセキュリティについて | 元帳

3 年 2021 月 XNUMX 日、 BOOBA (レーベルを作ったフランス人ラッパー ラ ピラトリー ミュージック）5つのNFTのセットを置きます 売りに出されている、これらのアニメーション カードはそれぞれ合計 5000 枚です。 これらのNFTの合計は数日で150 ETH（それぞれ0.006 ETH）で売却され、この日の時点で700.000ドル以上に相当します。 ボーナスとして、これらの NFT のいずれかの幸運な所有者は、独占的なミュージック ビデオを見ることができました。 TN から ２０２０年１１月１２日.

Les rapeurs m'envient、sont tous en galère。
– ブルビ、西側

私たちは少し興味があり、ミュージック ビデオはどのように保護されているのか、購入しなくても楽しめるのかどうか疑問に思いました。 NFTs.

ミュージック ビデオの保護はどのように機能しますか?

ビデオを見るには、NFT の所有者はページにアクセスする必要があります /mon-nft そして、暗号ウォレット（メタマスクやウォレットコネクトなど）を使用してイーサリアムメッセージに署名します "Pour accéder à TN, merci de bien vouloir signer ce message" NFTの購入に使用したものと同じウォレットを使用します。 署名が完了すると、この形式に従った JSON 本文を含む POST リクエストが Web ブラウザーによって送信されます。 ウェブサービス AWS でホストされている:

いくつかのテストでは、デフォルトとは異なるメッセージは、JSON でエンコードされている限り拒否されないことが示されています。 例えば： [1337] および "blah" は有効とみなされますが、JSON 形式ではないメッセージはトリガーされます。 internal error 瞬時に。

署名がイーサリアムアドレスに関連付けられている場合 (wallet）と message が有効な場合、サーバーはウォレットが実際に NFT の XNUMX つを購入したことを検証します。それ以外の場合はエラーが発生します。 Tu ne possèdes aucun des NFTs が返されます。 この最後のステップにはもう少し時間がかかるため、次の仮説を立てることができます。 次の 2 つの条件を満たす公開キーをインターネット上で見つけた場合:

• 公開キーは JSON メッセージに署名しており、関連付けられた署名は公開されています。
• ウォレットは少なくとも XNUMX つの NFT を購入しました。

AWS サーバー上でメッセージと署名を再生して、ミュージック ビデオを取得できる可能性があります。

　 BOOBA TN NFT は ERC-20 トークンでもあります (B2O_TN) スマートコントラクトによって作成される 0x3b73…94dd。 私たちはまず、すべてのNFT所有者をリストアップすることから始めました。 etherscan.io。 執筆時点では、これらのNFTのうち少なくとも3484つの所有者は1人いました。 1516 ウォレットは同じ NFT を複数所有しており、おそらくそのうちの XNUMX つを後で再販する予定です。

Un jour de mon salaire c'est leur Assurance vie.
– ブルビ、西側

1 回目の試行 –etherscan.io

Ethereum メッセージは、 personal_sign フォーマット （"x19Ethereum Signed Message:n" + length(message) + message) ECDSA を使用して署名される前に。 Ethereum トランザクションは別の形式 (RLP) にエンコードされているため、トランザクション署名は有効なメッセージ署名として認識できません。 別の言い方をすると、メッセージ署名はイーサリアム ブロックチェーン上では見つかりません。

オフチェーン Ethereum メッセージを最初に見つけた場所は、etherscan.io です。これは、Web インターフェイスを提供します。 確認する Ethereum メッセージ署名を作成し、最終的にパブリック URL 経由でアクセスできるように保存します。 まず、このサービスを通じて保存されたすべての Ethereum メッセージを取得しました。 etherscan.io/verifiedSignatures.

例えば verifySig/2642 のNFT所有者を示しています 退屈な猿 #6743 彼がTwitterアカウントの所有者でもあることを証明した サル6743:

彼はNFTの所有者でもあります ブーバ テネシー州 このように トランザクション。 ただし、署名が有効であっても、メッセージは JSON 形式ではないため、AWS サーバーで認識できません。

Tu n'peux que gagner quand t'as rien à perdre.
– マニフィーク、トロンヌ

2 回目の試み – snapshot.org

ウェブサイト スナップショット.org 個人がイーサリアム ウォレットを使用して提案に投票できるようにします。 Snapshot は、結果の検証が容易で異議申し立てが難しいオフチェーンのガスレス マルチガバナンス クライアントです。 投票は偶然にも JSON 形式です。

A GraphQL インターフェイスを使用して投票データベースをクエリできます。 たとえば、次の最小限の GraphQL リクエストは、投票者のアドレスが次のような投票 ID を返します。 0x668248dF4595e09Aa253B31478312748078F7a20:

クエリの結果は、このアドレスが 2 つの投票に使用されたことを示しています。

Boaba TN NFT を所有する各ウォレットによって署名された投票は、単一の GraphQL リクエストで全体を取得できます。 689 人の固有投票者に対して 140 件の結果があります。

住所・アドレス 0x668248dF4595e09Aa253B31478312748078F7a20 買った 5 ブーバ TN NFT。 前に示したように、このアドレスでは次の提案にも賛成票が投じられました。

関連する投票は InterPlanetary File System (IPFS) に保存されます。 QmZL5toFBQrPgNDPTpQCukWtcjWeT5x6nou75wMMTm52zM および QmQLSv36j3GLdRjubqpXjpAgwYG77Mop5T9uLCi73r1SUT。 第一回目の投票内容は以下の通りです。

URL は一定期間が経過すると期限切れになり、無効になることに注意してください。

まとめ

このブログ投稿では、この NFT イベントを支える暗号化が健全であっても、基本的な暗号化が行われていないことを示しています。 リプレイ攻撃 ミュージック ビデオの保護を解除するには十分でした。 修正方法は簡単です。AWS サーバーに送信されたメッセージが暗号ウォレットに送信されたメッセージと一致しない場合、そのメッセージは拒否される必要があります。

最高の海賊です!
– ネロ・ネメシス、ワラボク

一度連絡を取ると（適切な連絡先を見つけるのが実際には最も困難な部分でした）、 ルネッサンスNFT とても協力的で反応がよかったです。 この問題は XNUMX 時間以内に修正され、保護アクセスを回避することはできなくなりました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
• 情報源： https://www.ledger.com/blog/booba_nft