3 نوفمبر 2021 ، Booba (مغني الراب الفرنسي الذي ابتكر التسمية موسيقى لا بيراتيري) ضع مجموعة من 5 NFTs للبيع، ليصبح المجموع 5000 من كل من هذه البطاقات المتحركة. تم بيع إجمالي NFTs في غضون أيام قليلة مقابل 150 ETH (0.006 ETH لكل منهما) ، أي أكثر من 700.000 دولار في هذا التاريخ. على سبيل المكافأة ، سُمح للمالكين المحظوظين لأحد هذه NFTs بمشاهدة الفيديو الموسيقي الحصري TN منذ 8 نوفمبر 2021.

مغني الراب المغردين ، ليسوا طوس أون جاليري.
- بولبي ، الجانب الغربي

كنا فضوليين بعض الشيء وتساءلنا عن كيفية حماية الفيديو الموسيقي وما إذا كان بإمكاننا الاستمتاع به حتى لو لم نشتري أيًا منه NFTS.

كيف تعمل حماية الفيديو الموسيقي؟

لمشاهدة الفيديو ، يتعين على مالكي NFTs زيارة الصفحة / mon-nft واستخدموا محفظتهم المشفرة (مثل Metamask أو WalletConnect) للتوقيع على رسالة Ethereum "Pour accéder à TN, merci de bien vouloir signer ce message" بنفس المحفظة من تلك المستخدمة لشراء NFTs. بمجرد التوقيع ، يرسل مستعرض الويب طلب POST بهيئة JSON تتبع هذا التنسيق إلى ملف خدمة الويب مستضاف على AWS:

تظهر بعض الاختبارات أن الرسائل المختلفة عن الرسالة الافتراضية لا يتم رفضها طالما أنها مشفرة بتنسيق JSON. على سبيل المثال: [1337] و  "blah" تعتبر صالحة ، إلا أن الرسائل غير الموجودة في JSON تؤدي إلى تشغيل ملف internal error على الفور.

إذا كان التوقيع المرتبط بعنوان Ethereum (wallet) و message صالحة ، يتحقق الخادم من أن المحفظة اشترت بالفعل أحد NFTs ، وإلا فإن الخطأ Tu ne possèdes aucun des NFTs يتم إرجاع. تستغرق هذه الخطوة الأخيرة مزيدًا من الوقت ، مما يسمح لنا بصياغة الفرضية التالية. إذا وجدنا على الإنترنت مفتاحًا عامًا يستوفي الشرطين التاليين:

• وقع المفتاح العام على رسالة JSON والتوقيع المرتبط به عام ؛
• اشترت المحفظة واحدة على الأقل من NFTs.

قد يكون من الممكن إعادة تشغيل الرسالة والتوقيع على خادم AWS لاسترداد الفيديو الموسيقي.

• BOOBA TN NFT هو أيضًا رمز مميز ERC-20 (B2O_TN) تم سكه بالعقد الذكي 0x3b73… 94dd. بدأنا أولاً بإدراج جميع مالكي NFT بفضل etherscan.io. في وقت كتابة هذا التقرير ، كان هناك 3484 مالكًا واحدًا على الأقل من هذه NFTs. تمتلك 1 محفظة أكثر من واحدة من نفس NFT ، ربما لإعادة بيع واحدة منها لاحقًا.

Un jour de mon salaire c'est leur assurance vie.
- بولبي ، الجانب الغربي

المحاولة الأولى - etherscan.io

يتم ترميز رسائل Ethereum باستخدام الامتداد personal_sign شكل ("x19Ethereum Signed Message:n" + length(message) + message) قبل التوقيع باستخدام ECDSA. نظرًا لأن معاملات Ethereum يتم ترميزها بتنسيق مختلف (RLP) ، فلا يمكن التعرف على توقيعات المعاملة كتوقيعات رسائل صالحة. بعبارة أخرى ، لا يمكن العثور على توقيعات الرسائل على Ethereum blockchain.

المكان الأول الذي وجدنا فيه رسائل Ethereum خارج السلسلة هو etherscan.io ، والذي يوفر واجهة ويب لـ تحقق من توقيع رسالة Ethereum وحفظه في النهاية لإتاحة الوصول إليه عبر عنوان URL عام. استردنا أولاً جميع رسائل Ethereum المحفوظة من خلال هذه الخدمة: etherscan.io/verifiedSignatures.

على سبيل المثال تحقق من سيج / 2642 يظهر أن مالك NFT القرد الممل # 6743 أثبت أنه صاحب حساب Twitter أيضًا قرد 6743:

وهو أيضًا مالك NFTs بوبا تن كما هو موضح في هذا صفقة. ومع ذلك ، حتى إذا كان التوقيع صالحًا ، فإن الرسالة ليست بتنسيق JSON ولا يمكن التعرف عليها بواسطة خادم AWS.

Tu n'peux que gagner quand t'as rien à perdre.
- Magnifique ، ترون

المحاولة الثانية - snapshot.org

الموقع snapshot.org يسمح للأفراد بالتصويت على المقترحات باستخدام محفظة Ethereum الخاصة بهم: Snapshot هو عميل متعدد الحوكمة بدون غاز خارج السلسلة ويسهل التحقق منه ويصعب الطعن في النتائج. تمت مصادفة التصويت بتنسيق JSON.

A GraphQL يمكن استخدام الواجهة للاستعلام عن قاعدة بيانات الأصوات. على سبيل المثال ، يُرجع طلب GraphQL الأدنى التالي معرفات التصويت حيث يكون عنوان الناخب 0x668248dF4595e09Aa253B31478312748078F7a20:

تظهر نتيجة الاستعلام أنه تم استخدام هذا العنوان في تصويتين:

يمكن استرداد الأصوات الموقعة من قبل كل محفظة تمتلك Booba TN NFTs بالكامل من خلال طلب GraphQL واحد. هناك 689 نتيجة لـ 140 ناخبًا فريدًا.

العنوان 0x668248dF4595e09Aa253B31478312748078F7a20 اشترى 5 Booba TN NFTs. كما هو موضح سابقًا ، صوت هذا العنوان أيضًا للمقترحات التالية:

يتم تخزين الأصوات المرتبطة في نظام الملفات بين الكواكب (IPFS): QmZL5toFBQrPgNDPTpQCukWtcjWeT5x6nou75wMMTm52zM و  QmQLSv36j3GLdRjubqpXjpAgwYG77Mop5T9uLCi73r1SUT. محتوى التصويت الأول هو:

الرجاء ملاحظة أن عنوان URL تنتهي صلاحيته بعد فترة زمنية ولم يعد صالحًا بعد الآن.

وفي الختام

يُظهر منشور المدونة هذا أنه حتى لو كان التشفير الذي يدعم حدث NFT هذا سليمًا ، فهو أساسي هجوم الإعادة كانت كافية لكسر حماية الفيديو الموسيقي. الإصلاح بسيط: يجب رفض الرسالة المرسلة إلى خادم AWS إذا لم تتطابق مع الرسالة المرسلة إلى محفظة التشفير.

La Piraterie n'est jamais finie!
- والابوك ، نيرو نيميسيس

بمجرد الاتصال (كان العثور على جهة الاتصال الصحيحة هو أصعب جزء في الواقع) ، فإن المطورين من النهضة كانت فائقة التعاون والاستجابة. تم إصلاح المشكلة في أقل من ساعة ولا يمكن تجاوز وصول الحماية بعد الآن.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.ledger.com/blog/booba_nft