*原文 | Odaily Planet Daily**著者 | 秦暁峰*2 週間待った後、レイヤー 2 相互運用プロトコル Connext は今夜ついにエアドロップ アプリケーションを公開しました (ウェブサイト: しかし、これが独自のインシデントを引き起こしました。アプリケーションの開始からわずか 30 分後、暗号化された KOL「Zhuzhu Bang」は、Connext のエアドロップ契約に抜け穴があるようだと述べた投稿を発行しました。) 頻繁な請求記録。このニュースはコミュニティ内で広く拡散され、その後、あるユーザーがチェーン上の情報を分析したところ、0x44Afで始まるアドレスが本日正式に作成され、エアドロップ開始後230回以上要求されていたことが分かり、取得したトークンはすべて売却されました。 ETH、USDT、USDC に交換すると、約 39,000 米ドルの利益が得られます。この時、Connext のエアドロップ契約にも不具合が発生し、一部のユーザーからはエアドロップを正常に申請できないとの報告があり、公式のエアドロップ申請が抜け穴のために閉鎖されたのではないかという噂がコミュニティで広まり始めました。**しかし、実際のところ、Connext のエアドロップ契約には抜け穴はありません。 **暗号化担当の KOL「Zhuzhu Bang」は、Connext のエアドロップ契約は安全であると述べ、彼の最初の分析は読者を誤解させました。同氏は、Connext のエアドロップ契約では、エアドロップの送信者と受信者が異なるアドレスであってもよいと規定しているが、元のアドレスに署名し、通話を許可する必要があると述べた。「最初の要求メソッドはclaimBySignatureで、最後のパラメータは署名情報を渡すことです。この「署名」はスマートコントラクトまたは他のメソッドを使用してユーザーによって返されます。したがって、次のように理解できます: \_signature は証明書です。 \_受信者ユーザー この証明書を使用すると、\_受益者アドレスのトークンを取得できます。」彼は、0x44Af で始まるアドレスは契約自体の脆弱性ではなく、スタジオのトークン コレクションであるべきだと付け加えました。(スマートコントラクト部分の情報)SlowMistのセキュリティチームはOdaily Planet Dailyに対し、Connextのエアドロップ契約には明らかな抜け穴はなく、他の人がエアドロップを主張することにつながったと語った。ユーザーは、NEXT ディストリビューター契約のclaimBySignature 関数を通じて NEXT トークンを要求できます。受信者ロールと受益者ロールがあります: **受信者ロールは、要求の NEXT トークンを受信するために使用され、受益者ロールは、NEXT を受信する資格のあるアドレスです。 **空売り投資の価格は、Connext プロトコルが発表したときに決定されます。ユーザーが NEXT トークンを要求すると、コントラクトは 2 つのチェックを実行します。** 1 つは受益者ロールの署名をチェックすること、もう 1 つは受益者ロールがエアドロップを受け取る資格があるかどうかをチェックすることです。 **最初のチェックでは、ユーザーによって渡された受信者が受益者ロールによって署名されているかどうかがチェックされるため、ランダムな受信受信者アドレスは受益者によって署名されていない場合はチェックを通過できません。受益者アドレスを指定して署名を作成した場合、署名チェックには合格できても、エアドロップ適格性の 2 回目のチェックには合格しません。エアドロップ適格性チェックはメルケル証明書を通じて実行され、証明書は Connext プロトコルによって正式に生成される必要があります。したがって、エアドロップを受け取る資格のないユーザーは、チェックを回避して他のユーザーからエアドロップを受け取ることはできません。**上記の分析を要約すると、ユーザー A のアドレスが申請資格がある場合、ユーザー B に申請を許可することができます。今回 0x44Af で始まるアドレスが非常に多くのトークンを要求できるのは、このエンティティが制御しているためです。複数修飾されたアドレスによって認証されるため、ハッカーは攻撃に抜け穴を使用しません。 **しかし、興味深いのは、エアドロップが開かれる前に、Connext が魔女アドレスに対する「包囲」を実施し、チームが魔女アドレスを選別するのを助けるようコミュニティを招待し、回収された NEXT の 25% を内部告発者への報酬として与える用意があったことです。公式データによると、最終的に 5,725 の Sybil アドレスが特定され、資格リストから削除され、5,932,065 コインが回収されました。しかし、今夜のパフォーマンスから判断すると、対魔女作戦は網をすり抜けた膨大な数の魚を残し、エアドロップ全体に多くの障害を加えたようです。Connext のコアコントリビューターである Arjun Bhuptani 氏は、0x44Af で始まるアドレスは魔女ボットであり、大量のガベージ リクエストを Tokensoft バックグラウンドに送信し、API のクラッシュを引き起こしました。これが、エアドロップ アプリケーション インターフェイスが使用できない原因である可能性もあると書いています。 。 (日々の注: 他の人が応募できないようにすることは、より良い販売価格を得るために行われる可能性があります。)良いニュースは、当局がこの問題に注目し、エアドロップが再開されることです。 Connext は声明を発表し、「エアドロップ Web サイトに影響し、ユーザーが請求できなくなる問題を認識しています。当社のパートナーおよびサービス プロバイダーのサーバー Tokensoft に過負荷をかけるボット アクティビティを検出しました。彼らは、この問題の解決に積極的に取り組んでいます。通常の主張です。すぐにすべてが通常に戻るはずです。」
次のエアドロップ茶番劇: 抜け穴と終わりのない魔女
原文 | Odaily Planet Daily
著者 | 秦暁峰
2 週間待った後、レイヤー 2 相互運用プロトコル Connext は今夜ついにエアドロップ アプリケーションを公開しました (ウェブサイト: しかし、これが独自のインシデントを引き起こしました。
アプリケーションの開始からわずか 30 分後、暗号化された KOL「Zhuzhu Bang」は、Connext のエアドロップ契約に抜け穴があるようだと述べた投稿を発行しました。) 頻繁な請求記録。
このニュースはコミュニティ内で広く拡散され、その後、あるユーザーがチェーン上の情報を分析したところ、0x44Afで始まるアドレスが本日正式に作成され、エアドロップ開始後230回以上要求されていたことが分かり、取得したトークンはすべて売却されました。 ETH、USDT、USDC に交換すると、約 39,000 米ドルの利益が得られます。
この時、Connext のエアドロップ契約にも不具合が発生し、一部のユーザーからはエアドロップを正常に申請できないとの報告があり、公式のエアドロップ申請が抜け穴のために閉鎖されたのではないかという噂がコミュニティで広まり始めました。
**しかし、実際のところ、Connext のエアドロップ契約には抜け穴はありません。 **
暗号化担当の KOL「Zhuzhu Bang」は、Connext のエアドロップ契約は安全であると述べ、彼の最初の分析は読者を誤解させました。同氏は、Connext のエアドロップ契約では、エアドロップの送信者と受信者が異なるアドレスであってもよいと規定しているが、元のアドレスに署名し、通話を許可する必要があると述べた。
「最初の要求メソッドはclaimBySignatureで、最後のパラメータは署名情報を渡すことです。この「署名」はスマートコントラクトまたは他のメソッドを使用してユーザーによって返されます。したがって、次のように理解できます: _signature は証明書です。 _受信者ユーザー この証明書を使用すると、_受益者アドレスのトークンを取得できます。」彼は、0x44Af で始まるアドレスは契約自体の脆弱性ではなく、スタジオのトークン コレクションであるべきだと付け加えました。
(スマートコントラクト部分の情報)
SlowMistのセキュリティチームはOdaily Planet Dailyに対し、Connextのエアドロップ契約には明らかな抜け穴はなく、他の人がエアドロップを主張することにつながったと語った。
ユーザーは、NEXT ディストリビューター契約のclaimBySignature 関数を通じて NEXT トークンを要求できます。受信者ロールと受益者ロールがあります: **受信者ロールは、要求の NEXT トークンを受信するために使用され、受益者ロールは、NEXT を受信する資格のあるアドレスです。 空売り投資の価格は、Connext プロトコルが発表したときに決定されます。ユーザーが NEXT トークンを要求すると、コントラクトは 2 つのチェックを実行します。 1 つは受益者ロールの署名をチェックすること、もう 1 つは受益者ロールがエアドロップを受け取る資格があるかどうかをチェックすることです。 **
最初のチェックでは、ユーザーによって渡された受信者が受益者ロールによって署名されているかどうかがチェックされるため、ランダムな受信受信者アドレスは受益者によって署名されていない場合はチェックを通過できません。受益者アドレスを指定して署名を作成した場合、署名チェックには合格できても、エアドロップ適格性の 2 回目のチェックには合格しません。エアドロップ適格性チェックはメルケル証明書を通じて実行され、証明書は Connext プロトコルによって正式に生成される必要があります。したがって、エアドロップを受け取る資格のないユーザーは、チェックを回避して他のユーザーからエアドロップを受け取ることはできません。
**上記の分析を要約すると、ユーザー A のアドレスが申請資格がある場合、ユーザー B に申請を許可することができます。今回 0x44Af で始まるアドレスが非常に多くのトークンを要求できるのは、このエンティティが制御しているためです。複数修飾されたアドレスによって認証されるため、ハッカーは攻撃に抜け穴を使用しません。 **
しかし、興味深いのは、エアドロップが開かれる前に、Connext が魔女アドレスに対する「包囲」を実施し、チームが魔女アドレスを選別するのを助けるようコミュニティを招待し、回収された NEXT の 25% を内部告発者への報酬として与える用意があったことです。公式データによると、最終的に 5,725 の Sybil アドレスが特定され、資格リストから削除され、5,932,065 コインが回収されました。
しかし、今夜のパフォーマンスから判断すると、対魔女作戦は網をすり抜けた膨大な数の魚を残し、エアドロップ全体に多くの障害を加えたようです。
Connext のコアコントリビューターである Arjun Bhuptani 氏は、0x44Af で始まるアドレスは魔女ボットであり、大量のガベージ リクエストを Tokensoft バックグラウンドに送信し、API のクラッシュを引き起こしました。これが、エアドロップ アプリケーション インターフェイスが使用できない原因である可能性もあると書いています。 。 (日々の注: 他の人が応募できないようにすることは、より良い販売価格を得るために行われる可能性があります。)
良いニュースは、当局がこの問題に注目し、エアドロップが再開されることです。 Connext は声明を発表し、「エアドロップ Web サイトに影響し、ユーザーが請求できなくなる問題を認識しています。当社のパートナーおよびサービス プロバイダーのサーバー Tokensoft に過負荷をかけるボット アクティビティを検出しました。彼らは、この問題の解決に積極的に取り組んでいます。通常の主張です。すぐにすべてが通常に戻るはずです。」