Après avoir attendu deux semaines, le protocole d'interopérabilité de couche 2 Connext a finalement ouvert l'application airdrop ce soir (URL : Mais il y a eu son propre incident.
À peine une demi-heure après l'ouverture de l'application, le crypto KOL "Zhuzhu Bang" a publié un message indiquant que le contrat de largage Connext est soupçonné d'avoir une faille. Les "scientifiques" peuvent utiliser cette faille pour voler un nombre illimité de largages NEXT à d'autres utilisateurs, et ci-joint l'adresse commençant par 0x44Af (cliquez pour sauter) ) Enregistrements de réclamations fréquentes.
La nouvelle a été largement diffusée dans la communauté, puis certains utilisateurs ont analysé les informations sur la chaîne et ont découvert que l'adresse commençant par 0x44Af avait été officiellement créée aujourd'hui et reçue plus de 230 fois après l'ouverture du largage, et que tous les jetons obtenus étaient vendu et échangé contre ETH, USDT et USDC, avec un bénéfice d'environ 39 000 $ US.
À cette époque, le contrat de largage Connext a également mal fonctionné et certains utilisateurs ont signalé qu'ils n'avaient pas pu recevoir le largage. Des rumeurs ont commencé à circuler dans la communauté selon lesquelles le responsable avait fermé les applications de largage en raison de failles.
**Cependant, la vérité est que le contrat de largage Connext ne présente aucune faille. **
Le chiffrement KOL "Zhuzhu Bang" a déclaré que le contrat de largage Connext est sûr et son analyse initiale a induit les lecteurs en erreur. Il a déclaré que bien que le contrat de largage Connext stipule que l'expéditeur et le destinataire du largage peuvent avoir des adresses différentes, l'adresse originale doit être signée pour autorisation avant de pouvoir être appelée.
"La première méthode de réclamation est ClaimBySignature, et le dernier paramètre consiste à transmettre les informations de signature, et cette "signature" est renvoyée par l'utilisateur à l'aide d'un contrat intelligent ou d'autres méthodes. Nous pouvons donc la comprendre comme : _signature est un certificat, _utilisateur destinataire Avec ce certificat, vous pouvez obtenir le jeton de l'adresse _bénéficiaire." Il a ajouté que l'adresse commençant par 0x44Af devrait être la collection de jetons du studio, plutôt qu'une vulnérabilité dans le contrat lui-même.
(Informations sur la partie du contrat intelligent)
L'équipe de sécurité de SlowMist a déclaré à Odaily Planet Daily qu'il n'y avait aucune faille évidente dans le contrat de largage de Connext, ce qui a conduit d'autres personnes à réclamer le largage.
Les utilisateurs peuvent réclamer des jetons NEXT via la fonction ClaimBySignature du contrat de distributeur NEXT, dans lequel il existe des rôles de destinataire et de bénéficiaire : **Le rôle de destinataire est utilisé pour recevoir les jetons NEXT réclamés, et le rôle de bénéficiaire est l'adresse éligible pour recevoir NEXT. tokens, qui est Le prix de l'investissement à découvert a été déterminé lorsque le protocole Connext l'a annoncé. Lorsque l'utilisateur fait une réclamation de jeton NEXT, le contrat effectuera deux vérifications : l'une consiste à vérifier la signature du rôle de bénéficiaire et l'autre consiste à vérifier si le rôle de bénéficiaire est éligible pour recevoir le largage. **
Lors du premier contrôle, il vérifiera si le destinataire transmis par l'utilisateur est signé par le rôle de bénéficiaire, de sorte que l'adresse aléatoire du destinataire entrant ne puisse pas passer le contrôle si elle n'est pas signée par le bénéficiaire. Si vous spécifiez l'adresse d'un bénéficiaire pour construire une signature, même si elle peut passer le contrôle de signature, elle ne peut pas passer le deuxième contrôle d'éligibilité aux largages aériens. Les contrôles d'éligibilité aux réclamations Airdrop sont vérifiés via des preuves Merkle, qui doivent être officiellement générées par le protocole Connext. Par conséquent, les utilisateurs qui ne sont pas éligibles pour recevoir des parachutages ne peuvent pas contourner le contrôle pour recevoir les parachutages d’autres personnes.
**Pour résumer l'analyse ci-dessus, si l'adresse de l'utilisateur A est éligible, il peut autoriser l'utilisateur B à en faire la demande. La raison pour laquelle l'adresse commençant par 0x44Af peut réclamer autant de jetons cette fois est parce que l'entité contrôle plusieurs qualifiés. les adresses l’autorisent, et ce n’est pas un hacker exploitant une vulnérabilité. **
Cependant, ce qui est intéressant, c'est qu'avant l'ouverture du largage, Connext a mené un « siège » contre les adresses de sorcières, a invité la communauté à aider l'équipe à filtrer les adresses de sorcières et était prêt à donner 25 % du NEXT récupéré en récompense aux lanceurs d'alerte. Selon les données officielles, 5 725 adresses Sybil ont finalement été identifiées et supprimées de la liste d'éligibilité, récupérant 5 932 065 pièces.
Cependant, à en juger par la performance de ce soir, l'opération anti-sorcière semble avoir laissé un grand nombre de poissons qui se sont glissés à travers le filet, et a même ajouté de nombreux obstacles à l'ensemble du largage.
Arjun Bhuptani, contributeur principal de Connext, a posté que l'adresse commençant par 0x44Af est un robot sorcier, qui a envoyé un grand nombre de requêtes de spam au backend de Tokensoft, provoquant le crash de son API. Cela peut également être la raison pour laquelle l'interface de réclamation airdrop ne peut pas être utilisée. . (Remarque quotidienne : empêcher d'autres personnes de postuler peut être pour obtenir un meilleur prix de vente.)
La bonne nouvelle est que les responsables ont pris note du problème et que les parachutages seront rouverts. Connext a publié une déclaration disant : « Nous sommes conscients d'un problème affectant le site Web de largage, empêchant les utilisateurs de réclamer. Nous avons détecté une activité de robot qui a surchargé les serveurs de notre partenaire et fournisseur de services Tokensoft. Ils travaillent activement pour résoudre ce problème afin de permettre Réclamation normale. Tout devrait bientôt revenir à la normale.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Farce du parachutage Connext : failles et sorcières sans fin
Original | Odaily Planet Quotidien
Auteur | Qin Xiaofeng
Après avoir attendu deux semaines, le protocole d'interopérabilité de couche 2 Connext a finalement ouvert l'application airdrop ce soir (URL : Mais il y a eu son propre incident.
À peine une demi-heure après l'ouverture de l'application, le crypto KOL "Zhuzhu Bang" a publié un message indiquant que le contrat de largage Connext est soupçonné d'avoir une faille. Les "scientifiques" peuvent utiliser cette faille pour voler un nombre illimité de largages NEXT à d'autres utilisateurs, et ci-joint l'adresse commençant par 0x44Af (cliquez pour sauter) ) Enregistrements de réclamations fréquentes.
La nouvelle a été largement diffusée dans la communauté, puis certains utilisateurs ont analysé les informations sur la chaîne et ont découvert que l'adresse commençant par 0x44Af avait été officiellement créée aujourd'hui et reçue plus de 230 fois après l'ouverture du largage, et que tous les jetons obtenus étaient vendu et échangé contre ETH, USDT et USDC, avec un bénéfice d'environ 39 000 $ US.
À cette époque, le contrat de largage Connext a également mal fonctionné et certains utilisateurs ont signalé qu'ils n'avaient pas pu recevoir le largage. Des rumeurs ont commencé à circuler dans la communauté selon lesquelles le responsable avait fermé les applications de largage en raison de failles.
**Cependant, la vérité est que le contrat de largage Connext ne présente aucune faille. **
Le chiffrement KOL "Zhuzhu Bang" a déclaré que le contrat de largage Connext est sûr et son analyse initiale a induit les lecteurs en erreur. Il a déclaré que bien que le contrat de largage Connext stipule que l'expéditeur et le destinataire du largage peuvent avoir des adresses différentes, l'adresse originale doit être signée pour autorisation avant de pouvoir être appelée.
"La première méthode de réclamation est ClaimBySignature, et le dernier paramètre consiste à transmettre les informations de signature, et cette "signature" est renvoyée par l'utilisateur à l'aide d'un contrat intelligent ou d'autres méthodes. Nous pouvons donc la comprendre comme : _signature est un certificat, _utilisateur destinataire Avec ce certificat, vous pouvez obtenir le jeton de l'adresse _bénéficiaire." Il a ajouté que l'adresse commençant par 0x44Af devrait être la collection de jetons du studio, plutôt qu'une vulnérabilité dans le contrat lui-même.
(Informations sur la partie du contrat intelligent)
L'équipe de sécurité de SlowMist a déclaré à Odaily Planet Daily qu'il n'y avait aucune faille évidente dans le contrat de largage de Connext, ce qui a conduit d'autres personnes à réclamer le largage.
Les utilisateurs peuvent réclamer des jetons NEXT via la fonction ClaimBySignature du contrat de distributeur NEXT, dans lequel il existe des rôles de destinataire et de bénéficiaire : **Le rôle de destinataire est utilisé pour recevoir les jetons NEXT réclamés, et le rôle de bénéficiaire est l'adresse éligible pour recevoir NEXT. tokens, qui est Le prix de l'investissement à découvert a été déterminé lorsque le protocole Connext l'a annoncé. Lorsque l'utilisateur fait une réclamation de jeton NEXT, le contrat effectuera deux vérifications : l'une consiste à vérifier la signature du rôle de bénéficiaire et l'autre consiste à vérifier si le rôle de bénéficiaire est éligible pour recevoir le largage. **
Lors du premier contrôle, il vérifiera si le destinataire transmis par l'utilisateur est signé par le rôle de bénéficiaire, de sorte que l'adresse aléatoire du destinataire entrant ne puisse pas passer le contrôle si elle n'est pas signée par le bénéficiaire. Si vous spécifiez l'adresse d'un bénéficiaire pour construire une signature, même si elle peut passer le contrôle de signature, elle ne peut pas passer le deuxième contrôle d'éligibilité aux largages aériens. Les contrôles d'éligibilité aux réclamations Airdrop sont vérifiés via des preuves Merkle, qui doivent être officiellement générées par le protocole Connext. Par conséquent, les utilisateurs qui ne sont pas éligibles pour recevoir des parachutages ne peuvent pas contourner le contrôle pour recevoir les parachutages d’autres personnes.
**Pour résumer l'analyse ci-dessus, si l'adresse de l'utilisateur A est éligible, il peut autoriser l'utilisateur B à en faire la demande. La raison pour laquelle l'adresse commençant par 0x44Af peut réclamer autant de jetons cette fois est parce que l'entité contrôle plusieurs qualifiés. les adresses l’autorisent, et ce n’est pas un hacker exploitant une vulnérabilité. **
Cependant, ce qui est intéressant, c'est qu'avant l'ouverture du largage, Connext a mené un « siège » contre les adresses de sorcières, a invité la communauté à aider l'équipe à filtrer les adresses de sorcières et était prêt à donner 25 % du NEXT récupéré en récompense aux lanceurs d'alerte. Selon les données officielles, 5 725 adresses Sybil ont finalement été identifiées et supprimées de la liste d'éligibilité, récupérant 5 932 065 pièces.
Cependant, à en juger par la performance de ce soir, l'opération anti-sorcière semble avoir laissé un grand nombre de poissons qui se sont glissés à travers le filet, et a même ajouté de nombreux obstacles à l'ensemble du largage.
Arjun Bhuptani, contributeur principal de Connext, a posté que l'adresse commençant par 0x44Af est un robot sorcier, qui a envoyé un grand nombre de requêtes de spam au backend de Tokensoft, provoquant le crash de son API. Cela peut également être la raison pour laquelle l'interface de réclamation airdrop ne peut pas être utilisée. . (Remarque quotidienne : empêcher d'autres personnes de postuler peut être pour obtenir un meilleur prix de vente.)
La bonne nouvelle est que les responsables ont pris note du problème et que les parachutages seront rouverts. Connext a publié une déclaration disant : « Nous sommes conscients d'un problème affectant le site Web de largage, empêchant les utilisateurs de réclamer. Nous avons détecté une activité de robot qui a surchargé les serveurs de notre partenaire et fournisseur de services Tokensoft. Ils travaillent activement pour résoudre ce problème afin de permettre Réclamation normale. Tout devrait bientôt revenir à la normale.