Setelah menunggu selama dua minggu, protokol interoperabilitas Layer 2 Connext akhirnya membuka aplikasi airdrop malam ini (URL: Tapi ada kejadian sendiri.
Hanya setengah jam setelah aplikasi dibuka, crypto KOL "Zhuzhu Bang" memposting pesan yang mengatakan bahwa kontrak airdrop Connext diduga memiliki celah. "Ilmuwan" dapat menggunakan celah tersebut untuk mencuri airdrop NEXT tanpa batas dari pengguna lain, dan melampirkannya alamat yang dimulai dengan 0x44Af (klik untuk melompat) ) Catatan klaim yang sering.
Berita tersebut tersebar luas di komunitas, dan kemudian beberapa pengguna menganalisis informasi pada rantai tersebut dan menemukan bahwa alamat yang dimulai dengan 0x44Af secara resmi dibuat hari ini, dan diterima lebih dari 230 kali setelah airdrop dibuka, dan semua token yang diperoleh adalah dijual dan ditukar dengan ETH, USDT dan USDC, untung sekitar 39,000 dolar AS.
Pada saat ini, kontrak airdrop Connext juga tidak berfungsi, dan beberapa pengguna melaporkan bahwa mereka tidak berhasil menerima airdrop tersebut.Rumor mulai beredar di komunitas bahwa pejabat tersebut telah menutup aplikasi airdrop karena adanya celah.
**Namun, kenyataannya adalah tidak ada celah dalam kontrak airdrop Connext. **
Crypto KOL "Zhuzhu Bang" mengatakan bahwa kontrak airdrop Connext aman dan analisis awalnya menyesatkan pembaca. Dia mengatakan bahwa meskipun kontrak airdrop Connext menetapkan bahwa pengirim dan penerima airdrop dapat berbeda alamat, alamat asli harus ditandatangani untuk otorisasi sebelum dapat dihubungi.
"Metode klaim pertama adalah klaimBySignature, dan parameter terakhir adalah meneruskan informasi tanda tangan, dan" tanda tangan "ini dikembalikan oleh pengguna sendiri menggunakan kontrak pintar atau metode lain. Jadi kita dapat memahaminya sebagai: _signature adalah kredensial , _pengguna penerima Dengan sertifikat ini, Anda bisa mendapatkan token dari _alamat penerima." Dia menambahkan bahwa alamat yang dimulai dengan 0x44Af seharusnya adalah studio pengumpulan token, bukan kontrak itu sendiri yang memiliki celah.
(Informasi bagian kontrak pintar)
Tim keamanan SlowMist mengatakan kepada Odaily Planet Daily bahwa tidak ada celah yang jelas dalam kontrak airdrop Connext, yang menyebabkan orang lain mengklaim airdrop tersebut.
Pengguna dapat mengklaim token NEXT melalui fungsi klaimBySignature pada kontrak Distributor NEXT, yang di dalamnya terdapat peran penerima dan penerima manfaat: **Peran penerima digunakan untuk menerima token NEXT yang diklaim, dan peran penerima manfaat adalah alamat yang memenuhi syarat untuk menerima NEXT token, **yaitu Harga investasi pendek ditentukan ketika protokol Connext mengumumkannya. Saat pengguna mengklaim token BERIKUTNYA, kontrak akan melakukan dua pemeriksaan: **Yang pertama adalah memeriksa tanda tangan karakter penerima, dan yang kedua adalah memeriksa apakah karakter penerima memenuhi syarat untuk menerima airdrop. **
Pada pemeriksaan pertama, ia akan memeriksa apakah penerima yang diteruskan oleh pengguna ditandatangani oleh peran penerima, sehingga alamat penerima yang masuk secara acak tidak dapat lolos pemeriksaan jika tidak ditandatangani oleh penerima. Jika Anda menentukan alamat penerima untuk membuat tanda tangan, meskipun alamat tersebut dapat lolos pemeriksaan tanda tangan, alamat tersebut tidak dapat lulus pemeriksaan kedua mengenai kelayakan untuk airdrop. Pemeriksaan kelayakan klaim Airdrop diperiksa melalui bukti Merkle, yang harus dibuat secara resmi oleh protokol Connext. Oleh karena itu, pengguna yang tidak memenuhi syarat untuk menerima airdrop tidak dapat melewati pemeriksaan untuk menerima airdrop orang lain.
**Untuk meringkas analisis di atas, jika alamat pengguna A memenuhi syarat untuk diterapkan, dia dapat mengizinkan pengguna B untuk mengajukan permohonan. Alasan mengapa alamat yang dimulai dengan 0x44Af kali ini dapat mengklaim begitu banyak token adalah karena entitas ini yang mengontrolnya. alamat yang memenuhi syarat mengizinkannya, dan itu bukan peretas yang mengeksploitasi kerentanan. **
Namun yang menarik adalah sebelum airdrop dibuka, Connext melakukan "pengepungan" terhadap alamat penyihir, mengundang komunitas untuk membantu tim menyaring alamat penyihir, dan bersedia memberikan 25% dari NEXT yang dipulihkan sebagai hadiah kepada pelapor. Menurut data resmi, pada akhirnya 5,725 alamat Sybil diidentifikasi dan dihapus dari daftar kelayakan, memulihkan 5,932,065 koin.
Namun, dilihat dari penampilan malam ini, operasi anti-penyihir tampaknya telah meninggalkan sejumlah besar ikan yang lolos dari jaring, dan bahkan menambah banyak hambatan pada keseluruhan airdrop.
Kontributor inti Connext Arjun Bhuptani menulis bahwa alamat yang dimulai dengan 0x44Af adalah bot penyihir, yang mengirimkan sejumlah besar permintaan sampah ke latar belakang Tokensoft, menyebabkan API-nya mogok, yang mungkin juga menjadi alasan mengapa antarmuka aplikasi airdrop tidak dapat digunakan. . (Catatan Odaily: Untuk mencegah orang lain mengklaim, mungkin untuk mendapatkan harga jual yang lebih baik.)
Kabar baiknya adalah para pejabat telah memperhatikan masalah ini dan airdrop akan dibuka kembali. Connext mengeluarkan pernyataan yang mengatakan: "Kami mengetahui adanya masalah yang memengaruhi situs web airdrop, menyebabkan pengguna tidak dapat mengklaim. Kami mendeteksi aktivitas bot yang membebani server mitra dan penyedia layanan kami, Tokensoft. Mereka secara aktif berupaya menyelesaikan masalah ini untuk mengaktifkan Klaim normal. Semuanya akan segera kembali normal."
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Hubungkan lelucon airdrop: celah dan penyihir tak berujung
Asli | Odaily Planet Harian
Penulis | Qin Xiaofeng
Setelah menunggu selama dua minggu, protokol interoperabilitas Layer 2 Connext akhirnya membuka aplikasi airdrop malam ini (URL: Tapi ada kejadian sendiri.
Hanya setengah jam setelah aplikasi dibuka, crypto KOL "Zhuzhu Bang" memposting pesan yang mengatakan bahwa kontrak airdrop Connext diduga memiliki celah. "Ilmuwan" dapat menggunakan celah tersebut untuk mencuri airdrop NEXT tanpa batas dari pengguna lain, dan melampirkannya alamat yang dimulai dengan 0x44Af (klik untuk melompat) ) Catatan klaim yang sering.
Berita tersebut tersebar luas di komunitas, dan kemudian beberapa pengguna menganalisis informasi pada rantai tersebut dan menemukan bahwa alamat yang dimulai dengan 0x44Af secara resmi dibuat hari ini, dan diterima lebih dari 230 kali setelah airdrop dibuka, dan semua token yang diperoleh adalah dijual dan ditukar dengan ETH, USDT dan USDC, untung sekitar 39,000 dolar AS.
Pada saat ini, kontrak airdrop Connext juga tidak berfungsi, dan beberapa pengguna melaporkan bahwa mereka tidak berhasil menerima airdrop tersebut.Rumor mulai beredar di komunitas bahwa pejabat tersebut telah menutup aplikasi airdrop karena adanya celah.
**Namun, kenyataannya adalah tidak ada celah dalam kontrak airdrop Connext. **
Crypto KOL "Zhuzhu Bang" mengatakan bahwa kontrak airdrop Connext aman dan analisis awalnya menyesatkan pembaca. Dia mengatakan bahwa meskipun kontrak airdrop Connext menetapkan bahwa pengirim dan penerima airdrop dapat berbeda alamat, alamat asli harus ditandatangani untuk otorisasi sebelum dapat dihubungi.
"Metode klaim pertama adalah klaimBySignature, dan parameter terakhir adalah meneruskan informasi tanda tangan, dan" tanda tangan "ini dikembalikan oleh pengguna sendiri menggunakan kontrak pintar atau metode lain. Jadi kita dapat memahaminya sebagai: _signature adalah kredensial , _pengguna penerima Dengan sertifikat ini, Anda bisa mendapatkan token dari _alamat penerima." Dia menambahkan bahwa alamat yang dimulai dengan 0x44Af seharusnya adalah studio pengumpulan token, bukan kontrak itu sendiri yang memiliki celah.
(Informasi bagian kontrak pintar)
Tim keamanan SlowMist mengatakan kepada Odaily Planet Daily bahwa tidak ada celah yang jelas dalam kontrak airdrop Connext, yang menyebabkan orang lain mengklaim airdrop tersebut.
Pengguna dapat mengklaim token NEXT melalui fungsi klaimBySignature pada kontrak Distributor NEXT, yang di dalamnya terdapat peran penerima dan penerima manfaat: **Peran penerima digunakan untuk menerima token NEXT yang diklaim, dan peran penerima manfaat adalah alamat yang memenuhi syarat untuk menerima NEXT token, **yaitu Harga investasi pendek ditentukan ketika protokol Connext mengumumkannya. Saat pengguna mengklaim token BERIKUTNYA, kontrak akan melakukan dua pemeriksaan: **Yang pertama adalah memeriksa tanda tangan karakter penerima, dan yang kedua adalah memeriksa apakah karakter penerima memenuhi syarat untuk menerima airdrop. **
Pada pemeriksaan pertama, ia akan memeriksa apakah penerima yang diteruskan oleh pengguna ditandatangani oleh peran penerima, sehingga alamat penerima yang masuk secara acak tidak dapat lolos pemeriksaan jika tidak ditandatangani oleh penerima. Jika Anda menentukan alamat penerima untuk membuat tanda tangan, meskipun alamat tersebut dapat lolos pemeriksaan tanda tangan, alamat tersebut tidak dapat lulus pemeriksaan kedua mengenai kelayakan untuk airdrop. Pemeriksaan kelayakan klaim Airdrop diperiksa melalui bukti Merkle, yang harus dibuat secara resmi oleh protokol Connext. Oleh karena itu, pengguna yang tidak memenuhi syarat untuk menerima airdrop tidak dapat melewati pemeriksaan untuk menerima airdrop orang lain.
**Untuk meringkas analisis di atas, jika alamat pengguna A memenuhi syarat untuk diterapkan, dia dapat mengizinkan pengguna B untuk mengajukan permohonan. Alasan mengapa alamat yang dimulai dengan 0x44Af kali ini dapat mengklaim begitu banyak token adalah karena entitas ini yang mengontrolnya. alamat yang memenuhi syarat mengizinkannya, dan itu bukan peretas yang mengeksploitasi kerentanan. **
Namun yang menarik adalah sebelum airdrop dibuka, Connext melakukan "pengepungan" terhadap alamat penyihir, mengundang komunitas untuk membantu tim menyaring alamat penyihir, dan bersedia memberikan 25% dari NEXT yang dipulihkan sebagai hadiah kepada pelapor. Menurut data resmi, pada akhirnya 5,725 alamat Sybil diidentifikasi dan dihapus dari daftar kelayakan, memulihkan 5,932,065 koin.
Namun, dilihat dari penampilan malam ini, operasi anti-penyihir tampaknya telah meninggalkan sejumlah besar ikan yang lolos dari jaring, dan bahkan menambah banyak hambatan pada keseluruhan airdrop.
Kontributor inti Connext Arjun Bhuptani menulis bahwa alamat yang dimulai dengan 0x44Af adalah bot penyihir, yang mengirimkan sejumlah besar permintaan sampah ke latar belakang Tokensoft, menyebabkan API-nya mogok, yang mungkin juga menjadi alasan mengapa antarmuka aplikasi airdrop tidak dapat digunakan. . (Catatan Odaily: Untuk mencegah orang lain mengklaim, mungkin untuk mendapatkan harga jual yang lebih baik.)
Kabar baiknya adalah para pejabat telah memperhatikan masalah ini dan airdrop akan dibuka kembali. Connext mengeluarkan pernyataan yang mengatakan: "Kami mengetahui adanya masalah yang memengaruhi situs web airdrop, menyebabkan pengguna tidak dapat mengklaim. Kami mendeteksi aktivitas bot yang membebani server mitra dan penyedia layanan kami, Tokensoft. Mereka secara aktif berupaya menyelesaikan masalah ini untuk mengaktifkan Klaim normal. Semuanya akan segera kembali normal."