Después de esperar dos semanas, el protocolo de interoperabilidad de Capa 2 Connext finalmente abrió aplicaciones de lanzamiento aéreo esta noche (sitio web: Pero causó un incidente propio.
Apenas media hora después de que se abrió la aplicación, el cripto KOL "Zhuzhu Bang" publicó un mensaje diciendo que se sospecha que el contrato de lanzamiento aéreo de Connext tiene una laguna jurídica. Los "científicos" pueden usar la laguna jurídica para robar lanzamientos aéreos NEXT ilimitados de otros usuarios, y adjunto la dirección que comienza con 0x44Af (haga clic para saltar) ) Registros de reclamos frecuentes.
La noticia se difundió ampliamente en la comunidad, posteriormente un usuario analizó la información de la cadena y descubrió que la dirección que comienza con 0x44Af se creó oficialmente hoy y fue reclamada más de 230 veces después de que se abrió el airdrop. Todos los tokens obtenidos se vendieron e intercambiado por ETH, USDT y USDC, una ganancia de unos 39.000 dólares estadounidenses.
En ese momento, el contrato de lanzamiento aéreo de Connext también falló y algunos usuarios informaron que no pudieron reclamar con éxito el lanzamiento aéreo. Comenzaron a circular rumores en la comunidad de que el reclamo oficial de lanzamiento aéreo se cerró debido a una laguna jurídica.
**Sin embargo, la verdad del asunto es que no existe ninguna laguna jurídica en el contrato de lanzamiento aéreo de Connext. **
El cifrado KOL "Zhuzhu Bang" declaró que el contrato de lanzamiento aéreo de Connext es seguro y su análisis inicial engañó a los lectores. Dijo que aunque el contrato de lanzamiento aéreo de Connext estipula que el remitente y el destinatario del lanzamiento aéreo pueden ser direcciones diferentes, la dirección original debe estar firmada para obtener autorización antes de poder llamar.
"El primer método de reclamo es ClaimBySignature, y el último parámetro es pasar la información de la firma, y esta" firma "la devuelve el propio usuario utilizando el contrato inteligente u otros métodos. Entonces podemos entenderlo como: _signature es una credencial , usuario _recipient Con este certificado, puede obtener el token de la dirección _beneficiario". Agregó que la dirección que comienza con 0x44Af debería ser el estudio para la recolección de tokens, no el contrato en sí tiene una laguna jurídica.
El equipo de seguridad de SlowMist le dijo a Odaily Planet Daily que no existe ninguna laguna obvia en el contrato de lanzamiento aéreo de Connext, lo que llevó a otros a reclamar el lanzamiento aéreo.
Los usuarios pueden reclamar tokens NEXT a través de la función ClaimBySignature del contrato de Distribuidor NEXT, en el que hay roles de destinatario y beneficiario: **El rol de destinatario se utiliza para recibir tokens NEXT reclamados, y el rol de beneficiario es la dirección que es elegible para recibir NEXT tokens, **que es El precio de la inversión corta se determinó cuando el protocolo Connext lo anunció. Cuando un usuario reclama tokens NEXT, el contrato realizará dos verificaciones: **La primera es verificar la firma del personaje beneficiario y la segunda es verificar si el personaje beneficiario es elegible para recibir el lanzamiento aéreo. **
Durante la primera verificación, verificará si el destinatario ingresado por el usuario está firmado por la función de beneficiario, por lo que la dirección del destinatario ingresada a voluntad no puede pasar la verificación sin estar firmada por el beneficiario. Si especifica una dirección de beneficiario para construir una firma, incluso si puede pasar la verificación de firma, no pasará la segunda verificación de elegibilidad para el lanzamiento aéreo. Las verificaciones de elegibilidad de reclamos de Airdrop se verifican a través de pruebas Merkle, que deben ser generadas oficialmente por el protocolo Connext. Por lo tanto, los usuarios que no son elegibles para recibir airdrops no pueden pasar por alto el control para recibir airdrops de otras personas.
**Para resumir el análisis anterior, si la dirección del usuario A es elegible para postularse, puede autorizar al usuario B a solicitarla. La razón por la cual la dirección que comienza con 0x44Af esta vez puede reclamar tantos tokens es porque esta entidad la controla. las direcciones calificadas lo autorizan y los piratas informáticos no utilizan lagunas para atacar. **
Sin embargo, lo interesante es que antes de que se abriera el lanzamiento aéreo, Connext llevó a cabo una "campaña" contra las direcciones de brujas, invitó a la comunidad a ayudar al equipo a filtrar las direcciones de brujas y estaba dispuesto a dar el 25% del NEXT recuperado como recompensa al reportero. Según datos oficiales, finalmente se identificaron y eliminaron de la lista de elegibilidad 5.725 direcciones de Witch, y se recuperaron 5.932.065 tokens.
Sin embargo, a juzgar por la actuación de esta noche, la operación anti-brujas parece haber dejado una gran cantidad de peces que se escaparon de la red, e incluso agregó muchos obstáculos a todo el lanzamiento aéreo.
El colaborador principal de Connext, Arjun Bhuptani, publicó que la dirección que comienza con 0x44Af es un robot Witch, que envió una gran cantidad de solicitudes de spam al backend de Tokensoft, lo que provocó que su API fallara. Esta también puede ser la razón por la cual no se puede usar la interfaz de reclamo de lanzamiento aéreo . (Nota diaria: impedir que otras personas presenten su solicitud puede ser para obtener un mejor precio de venta).
La buena noticia es que los funcionarios han tomado nota del problema y se reabrirán los lanzamientos aéreos. Connext publicó: "Somos conscientes de un problema que afecta el sitio web de lanzamiento aéreo, lo que hace que los usuarios no puedan realizar reclamos. Hemos detectado actividad de bot que está causando que el servidor de nuestro socio y proveedor de servicios Tokensoft se sobrecargue. Están trabajando activamente para resolver este problema. para permitir operaciones normales. Reclamación. Todo debería volver a la normalidad pronto".
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
¿Le pasó algo a Connext otra vez? Obtenga más información sobre el incidente de fraude de lanzamiento aéreo de Connext en un artículo
Original | Odaily Planet Daily
Autor | Qin Xiaofeng
Después de esperar dos semanas, el protocolo de interoperabilidad de Capa 2 Connext finalmente abrió aplicaciones de lanzamiento aéreo esta noche (sitio web: Pero causó un incidente propio.
Apenas media hora después de que se abrió la aplicación, el cripto KOL "Zhuzhu Bang" publicó un mensaje diciendo que se sospecha que el contrato de lanzamiento aéreo de Connext tiene una laguna jurídica. Los "científicos" pueden usar la laguna jurídica para robar lanzamientos aéreos NEXT ilimitados de otros usuarios, y adjunto la dirección que comienza con 0x44Af (haga clic para saltar) ) Registros de reclamos frecuentes.
La noticia se difundió ampliamente en la comunidad, posteriormente un usuario analizó la información de la cadena y descubrió que la dirección que comienza con 0x44Af se creó oficialmente hoy y fue reclamada más de 230 veces después de que se abrió el airdrop. Todos los tokens obtenidos se vendieron e intercambiado por ETH, USDT y USDC, una ganancia de unos 39.000 dólares estadounidenses.
En ese momento, el contrato de lanzamiento aéreo de Connext también falló y algunos usuarios informaron que no pudieron reclamar con éxito el lanzamiento aéreo. Comenzaron a circular rumores en la comunidad de que el reclamo oficial de lanzamiento aéreo se cerró debido a una laguna jurídica.
**Sin embargo, la verdad del asunto es que no existe ninguna laguna jurídica en el contrato de lanzamiento aéreo de Connext. **
El cifrado KOL "Zhuzhu Bang" declaró que el contrato de lanzamiento aéreo de Connext es seguro y su análisis inicial engañó a los lectores. Dijo que aunque el contrato de lanzamiento aéreo de Connext estipula que el remitente y el destinatario del lanzamiento aéreo pueden ser direcciones diferentes, la dirección original debe estar firmada para obtener autorización antes de poder llamar.
"El primer método de reclamo es ClaimBySignature, y el último parámetro es pasar la información de la firma, y esta" firma "la devuelve el propio usuario utilizando el contrato inteligente u otros métodos. Entonces podemos entenderlo como: _signature es una credencial , usuario _recipient Con este certificado, puede obtener el token de la dirección _beneficiario". Agregó que la dirección que comienza con 0x44Af debería ser el estudio para la recolección de tokens, no el contrato en sí tiene una laguna jurídica.
El equipo de seguridad de SlowMist le dijo a Odaily Planet Daily que no existe ninguna laguna obvia en el contrato de lanzamiento aéreo de Connext, lo que llevó a otros a reclamar el lanzamiento aéreo.
Los usuarios pueden reclamar tokens NEXT a través de la función ClaimBySignature del contrato de Distribuidor NEXT, en el que hay roles de destinatario y beneficiario: **El rol de destinatario se utiliza para recibir tokens NEXT reclamados, y el rol de beneficiario es la dirección que es elegible para recibir NEXT tokens, **que es El precio de la inversión corta se determinó cuando el protocolo Connext lo anunció. Cuando un usuario reclama tokens NEXT, el contrato realizará dos verificaciones: **La primera es verificar la firma del personaje beneficiario y la segunda es verificar si el personaje beneficiario es elegible para recibir el lanzamiento aéreo. **
Durante la primera verificación, verificará si el destinatario ingresado por el usuario está firmado por la función de beneficiario, por lo que la dirección del destinatario ingresada a voluntad no puede pasar la verificación sin estar firmada por el beneficiario. Si especifica una dirección de beneficiario para construir una firma, incluso si puede pasar la verificación de firma, no pasará la segunda verificación de elegibilidad para el lanzamiento aéreo. Las verificaciones de elegibilidad de reclamos de Airdrop se verifican a través de pruebas Merkle, que deben ser generadas oficialmente por el protocolo Connext. Por lo tanto, los usuarios que no son elegibles para recibir airdrops no pueden pasar por alto el control para recibir airdrops de otras personas.
**Para resumir el análisis anterior, si la dirección del usuario A es elegible para postularse, puede autorizar al usuario B a solicitarla. La razón por la cual la dirección que comienza con 0x44Af esta vez puede reclamar tantos tokens es porque esta entidad la controla. las direcciones calificadas lo autorizan y los piratas informáticos no utilizan lagunas para atacar. **
Sin embargo, lo interesante es que antes de que se abriera el lanzamiento aéreo, Connext llevó a cabo una "campaña" contra las direcciones de brujas, invitó a la comunidad a ayudar al equipo a filtrar las direcciones de brujas y estaba dispuesto a dar el 25% del NEXT recuperado como recompensa al reportero. Según datos oficiales, finalmente se identificaron y eliminaron de la lista de elegibilidad 5.725 direcciones de Witch, y se recuperaron 5.932.065 tokens.
Sin embargo, a juzgar por la actuación de esta noche, la operación anti-brujas parece haber dejado una gran cantidad de peces que se escaparon de la red, e incluso agregó muchos obstáculos a todo el lanzamiento aéreo.
El colaborador principal de Connext, Arjun Bhuptani, publicó que la dirección que comienza con 0x44Af es un robot Witch, que envió una gran cantidad de solicitudes de spam al backend de Tokensoft, lo que provocó que su API fallara. Esta también puede ser la razón por la cual no se puede usar la interfaz de reclamo de lanzamiento aéreo . (Nota diaria: impedir que otras personas presenten su solicitud puede ser para obtener un mejor precio de venta).
La buena noticia es que los funcionarios han tomado nota del problema y se reabrirán los lanzamientos aéreos. Connext publicó: "Somos conscientes de un problema que afecta el sitio web de lanzamiento aéreo, lo que hace que los usuarios no puedan realizar reclamos. Hemos detectado actividad de bot que está causando que el servidor de nuestro socio y proveedor de servicios Tokensoft se sobrecargue. Están trabajando activamente para resolver este problema. para permitir operaciones normales. Reclamación. Todo debería volver a la normalidad pronto".