بعد الانتظار لمدة أسبوعين، فتح بروتوكول التشغيل البيني للطبقة الثانية Connext أخيرًا تطبيقات الإسقاط الجوي الليلة (الموقع الإلكتروني: لكنه تسبب في حادث خاص.
بعد نصف ساعة فقط من فتح التطبيق، نشرت عملة التشفير KOL "Zhuzhu Bang" رسالة تفيد بأن عقد Connext airdrop يشتبه في وجود ثغرة فيه. يمكن "للعلماء" استخدام الثغرة لسرقة عدد غير محدود من عمليات الإنزال الجوي NEXT من المستخدمين الآخرين، وإرفاقها العنوان الذي يبدأ بـ 0x44Af (انقر للانتقال) سجلات المطالبات المتكررة.
انتشر الخبر على نطاق واسع في المجتمع، وفي وقت لاحق، قام أحد المستخدمين بتحليل المعلومات الموجودة على السلسلة ووجد أن العنوان الذي يبدأ بـ 0x44Af تم إنشاؤه رسميًا اليوم وتمت المطالبة به أكثر من 230 مرة بعد فتح عملية التوزيع، وتم بيع جميع الرموز المميزة التي تم الحصول عليها وتم استبدالها بـ ETH وUSDT وUSDC، بأرباح بلغت حوالي 39000 دولار أمريكي.
في هذا الوقت، تعطل أيضًا عقد الإسقاط الجوي لشركة Connext، وأفاد بعض المستخدمين أنهم لم يتمكنوا من تلقي الإسقاط الجوي بنجاح، وبدأت الشائعات تنتشر في المجتمع بأن المسؤول قد أغلق طلبات الإسقاط الجوي بسبب الثغرات.
**ومع ذلك، فإن حقيقة الأمر هي أنه لا توجد ثغرة في عقد الإسقاط الجوي الخاص بشركة Connext. **
قال Crypto KOL "Zhuzhu Bang" إن عقد Connext للإسقاط الجوي آمن وأن تحليله الأولي ضلل القراء. وقال إنه على الرغم من أن عقد Connext airdrop ينص على أن المرسل والمستقبل يمكن أن يكونا عنوانين مختلفين، إلا أن العنوان الأصلي يحتاج إلى التوقيع والتصريح بالاتصال.
"طريقة المطالبة الأولى هيclaimBySignature، والمعلمة الأخيرة هي تمرير معلومات التوقيع، ويتم إرجاع هذا "التوقيع" بواسطة المستخدم نفسه باستخدام العقد الذكي أو طرق أخرى. لذا يمكننا فهمه على أنه: _signature هو بيانات اعتماد ، _المستخدم المستلم باستخدام هذه الشهادة، يمكنك الحصول على الرمز المميز لعنوان _المستفيد." وأضاف أن العنوان الذي يبدأ بـ 0x44Af يجب أن يكون الاستوديو لجمع الرمز المميز، وليس العقد نفسه به ثغرة.
(معلومات جزء العقد الذكي)
صرح فريق SlowMist الأمني لـ Odaily Planet Daily أنه لا توجد ثغرة واضحة في عقد Connext للإسقاط الجوي، مما أدى إلى مطالبة الآخرين بالإسقاط الجوي.
يمكن للمستخدمين المطالبة برموز NEXT من خلال وظيفةclaimBySignature في عقد NEXT Distributor. هناك أدوار المستلم والمستفيد: **يتم استخدام دور المستلم لتلقي الرموز المميزة NEXT للمطالبة، ودور المستفيد هو العنوان المؤهل لتلقي NEXT الرموز المميزة. **تم تحديد سعر الاستثمار القصير عندما أعلن عنه بروتوكول Connext. عندما يقدم المستخدم مطالبة برمز NEXT، سيقوم العقد بإجراء فحصين: ** أحدهما للتحقق من توقيع دور المستفيد، والآخر للتحقق مما إذا كان دور المستفيد مؤهلاً لتلقي الإنزال الجوي. **
أثناء الفحص الأول، سيتم التحقق مما إذا كان المستلم الذي مرره المستخدم قد تم تسجيله بواسطة دور المستفيد، لذلك لا يمكن لعنوان المستلم العشوائي الوارد اجتياز الشيك إذا لم يتم توقيعه من قبل المستفيد. إذا قمت بتحديد عنوان مستفيد لإنشاء التوقيع، حتى لو كان بإمكانه اجتياز فحص التوقيع، فلن يتمكن من اجتياز الفحص الثاني بشأن أهلية عمليات الإنزال الجوي. يتم إجراء فحص أهلية الإيردروب من خلال شهادة ميركل، ويجب أن يتم إنشاء الشهادة رسميًا بواسطة بروتوكول Connext. لذلك، لا يمكن للمستخدمين غير المؤهلين لتلقي عمليات الإنزال الجوي تجاوز الفحص لتلقي عمليات الإنزال الجوي من الآخرين.
**لتلخيص التحليل أعلاه، إذا كان عنوان المستخدم "أ" مؤهلاً للتقديم، فيمكنه تفويض المستخدم "ب" للتقدم بطلب للحصول عليه. والسبب في أن العنوان الذي يبدأ بـ 0x44Af هذه المرة يمكنه المطالبة بالعديد من الرموز المميزة هو أن هذا الكيان يتحكم فيه. العناوين المؤهلة تسمح بذلك، وليس متسللًا يستغل ثغرة أمنية. **
ومع ذلك، الأمر المثير للاهتمام هو أنه قبل فتح عملية الإنزال الجوي، أجرت Connext "حملة" ضد عناوين الساحرات، ودعت المجتمع لمساعدة الفريق في فحص عناوين الساحرات، وكانت على استعداد لمنح 25% من NEXT المستردة كمكافأة إلى مراسل. وفقًا للبيانات الرسمية، تم تحديد 5,725 عنوانًا للساحرة في النهاية وإزالتها من قائمة الأهلية، وتم استرداد 5,932,065 رمزًا مميزًا.
ومع ذلك، انطلاقًا من أداء الليلة، يبدو أن عملية مكافحة الساحرات قد تركت عددًا كبيرًا من الأسماك التي انزلقت عبر الشبكة، بل إنها أضافت العديد من العوائق أمام عملية الإنزال الجوي بأكملها.
كتب المساهم الأساسي في Connext Arjun Bhuptani أن العنوان الذي يبدأ بـ 0x44Af هو روبوت ساحر، والذي أرسل عددًا كبيرًا من طلبات القمامة إلى خلفية Tokensoft، مما تسبب في تعطل واجهة برمجة التطبيقات (API) الخاصة به، وهو ما قد يكون أيضًا سبب عدم إمكانية استخدام واجهة تطبيق airdrop . (ملاحظة أوديلي: لمنع الآخرين من المطالبة، قد يكون ذلك للحصول على سعر بيع أفضل.)
والخبر السار هو أن المسؤولين قد أخذوا في الاعتبار هذه القضية وسيتم إعادة فتح عمليات الإنزال الجوي. أصدرت Connext بيانًا جاء فيه: "نحن على علم بمشكلة تؤثر على موقع airdrop، مما أدى إلى عدم قدرة المستخدمين على المطالبة. لقد اكتشفنا نشاط الروبوت الذي أدى إلى زيادة التحميل على خوادم شركائنا ومزودي الخدمة Tokensoft. إنهم يعملون بنشاط على حل هذه المشكلة لتمكين مطالبة عادية. يجب أن يعود كل شيء إلى طبيعته قريبًا.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
مهزلة الإنزال الجوي من Connext: ثغرات وساحرات لا نهاية لها
الأصل | أوديلي بلانيت ديلي
المؤلف | تشين شياو فنغ
بعد الانتظار لمدة أسبوعين، فتح بروتوكول التشغيل البيني للطبقة الثانية Connext أخيرًا تطبيقات الإسقاط الجوي الليلة (الموقع الإلكتروني: لكنه تسبب في حادث خاص.
بعد نصف ساعة فقط من فتح التطبيق، نشرت عملة التشفير KOL "Zhuzhu Bang" رسالة تفيد بأن عقد Connext airdrop يشتبه في وجود ثغرة فيه. يمكن "للعلماء" استخدام الثغرة لسرقة عدد غير محدود من عمليات الإنزال الجوي NEXT من المستخدمين الآخرين، وإرفاقها العنوان الذي يبدأ بـ 0x44Af (انقر للانتقال) سجلات المطالبات المتكررة.
انتشر الخبر على نطاق واسع في المجتمع، وفي وقت لاحق، قام أحد المستخدمين بتحليل المعلومات الموجودة على السلسلة ووجد أن العنوان الذي يبدأ بـ 0x44Af تم إنشاؤه رسميًا اليوم وتمت المطالبة به أكثر من 230 مرة بعد فتح عملية التوزيع، وتم بيع جميع الرموز المميزة التي تم الحصول عليها وتم استبدالها بـ ETH وUSDT وUSDC، بأرباح بلغت حوالي 39000 دولار أمريكي.
في هذا الوقت، تعطل أيضًا عقد الإسقاط الجوي لشركة Connext، وأفاد بعض المستخدمين أنهم لم يتمكنوا من تلقي الإسقاط الجوي بنجاح، وبدأت الشائعات تنتشر في المجتمع بأن المسؤول قد أغلق طلبات الإسقاط الجوي بسبب الثغرات.
**ومع ذلك، فإن حقيقة الأمر هي أنه لا توجد ثغرة في عقد الإسقاط الجوي الخاص بشركة Connext. **
قال Crypto KOL "Zhuzhu Bang" إن عقد Connext للإسقاط الجوي آمن وأن تحليله الأولي ضلل القراء. وقال إنه على الرغم من أن عقد Connext airdrop ينص على أن المرسل والمستقبل يمكن أن يكونا عنوانين مختلفين، إلا أن العنوان الأصلي يحتاج إلى التوقيع والتصريح بالاتصال.
"طريقة المطالبة الأولى هيclaimBySignature، والمعلمة الأخيرة هي تمرير معلومات التوقيع، ويتم إرجاع هذا "التوقيع" بواسطة المستخدم نفسه باستخدام العقد الذكي أو طرق أخرى. لذا يمكننا فهمه على أنه: _signature هو بيانات اعتماد ، _المستخدم المستلم باستخدام هذه الشهادة، يمكنك الحصول على الرمز المميز لعنوان _المستفيد." وأضاف أن العنوان الذي يبدأ بـ 0x44Af يجب أن يكون الاستوديو لجمع الرمز المميز، وليس العقد نفسه به ثغرة.
(معلومات جزء العقد الذكي)
صرح فريق SlowMist الأمني لـ Odaily Planet Daily أنه لا توجد ثغرة واضحة في عقد Connext للإسقاط الجوي، مما أدى إلى مطالبة الآخرين بالإسقاط الجوي.
يمكن للمستخدمين المطالبة برموز NEXT من خلال وظيفةclaimBySignature في عقد NEXT Distributor. هناك أدوار المستلم والمستفيد: **يتم استخدام دور المستلم لتلقي الرموز المميزة NEXT للمطالبة، ودور المستفيد هو العنوان المؤهل لتلقي NEXT الرموز المميزة. **تم تحديد سعر الاستثمار القصير عندما أعلن عنه بروتوكول Connext. عندما يقدم المستخدم مطالبة برمز NEXT، سيقوم العقد بإجراء فحصين: ** أحدهما للتحقق من توقيع دور المستفيد، والآخر للتحقق مما إذا كان دور المستفيد مؤهلاً لتلقي الإنزال الجوي. **
أثناء الفحص الأول، سيتم التحقق مما إذا كان المستلم الذي مرره المستخدم قد تم تسجيله بواسطة دور المستفيد، لذلك لا يمكن لعنوان المستلم العشوائي الوارد اجتياز الشيك إذا لم يتم توقيعه من قبل المستفيد. إذا قمت بتحديد عنوان مستفيد لإنشاء التوقيع، حتى لو كان بإمكانه اجتياز فحص التوقيع، فلن يتمكن من اجتياز الفحص الثاني بشأن أهلية عمليات الإنزال الجوي. يتم إجراء فحص أهلية الإيردروب من خلال شهادة ميركل، ويجب أن يتم إنشاء الشهادة رسميًا بواسطة بروتوكول Connext. لذلك، لا يمكن للمستخدمين غير المؤهلين لتلقي عمليات الإنزال الجوي تجاوز الفحص لتلقي عمليات الإنزال الجوي من الآخرين.
**لتلخيص التحليل أعلاه، إذا كان عنوان المستخدم "أ" مؤهلاً للتقديم، فيمكنه تفويض المستخدم "ب" للتقدم بطلب للحصول عليه. والسبب في أن العنوان الذي يبدأ بـ 0x44Af هذه المرة يمكنه المطالبة بالعديد من الرموز المميزة هو أن هذا الكيان يتحكم فيه. العناوين المؤهلة تسمح بذلك، وليس متسللًا يستغل ثغرة أمنية. **
ومع ذلك، الأمر المثير للاهتمام هو أنه قبل فتح عملية الإنزال الجوي، أجرت Connext "حملة" ضد عناوين الساحرات، ودعت المجتمع لمساعدة الفريق في فحص عناوين الساحرات، وكانت على استعداد لمنح 25% من NEXT المستردة كمكافأة إلى مراسل. وفقًا للبيانات الرسمية، تم تحديد 5,725 عنوانًا للساحرة في النهاية وإزالتها من قائمة الأهلية، وتم استرداد 5,932,065 رمزًا مميزًا.
ومع ذلك، انطلاقًا من أداء الليلة، يبدو أن عملية مكافحة الساحرات قد تركت عددًا كبيرًا من الأسماك التي انزلقت عبر الشبكة، بل إنها أضافت العديد من العوائق أمام عملية الإنزال الجوي بأكملها.
كتب المساهم الأساسي في Connext Arjun Bhuptani أن العنوان الذي يبدأ بـ 0x44Af هو روبوت ساحر، والذي أرسل عددًا كبيرًا من طلبات القمامة إلى خلفية Tokensoft، مما تسبب في تعطل واجهة برمجة التطبيقات (API) الخاصة به، وهو ما قد يكون أيضًا سبب عدم إمكانية استخدام واجهة تطبيق airdrop . (ملاحظة أوديلي: لمنع الآخرين من المطالبة، قد يكون ذلك للحصول على سعر بيع أفضل.)
والخبر السار هو أن المسؤولين قد أخذوا في الاعتبار هذه القضية وسيتم إعادة فتح عمليات الإنزال الجوي. أصدرت Connext بيانًا جاء فيه: "نحن على علم بمشكلة تؤثر على موقع airdrop، مما أدى إلى عدم قدرة المستخدمين على المطالبة. لقد اكتشفنا نشاط الروبوت الذي أدى إلى زيادة التحميل على خوادم شركائنا ومزودي الخدمة Tokensoft. إنهم يعملون بنشاط على حل هذه المشكلة لتمكين مطالبة عادية. يجب أن يعود كل شيء إلى طبيعته قريبًا.