Після двох тижнів очікування протокол сумісності рівня 2 Connext нарешті відкрив програму airdrop сьогодні ввечері (URL: Але був власний інцидент.
Всього через півгодини після відкриття програми криптографічний KOL "Zhuzhu Bang" опублікував повідомлення про те, що в контракті про аірдроп Connext є підозра, що він має лазівку. "Вчені" можуть використовувати цю лазівку, щоб викрасти необмежену кількість аірдропів NEXT від інших користувачів, і додається адреса, що починається з 0x44Af (клацніть, щоб перейти) ) часті записи претензій.
Новина була широко поширена в спільноті, а потім деякі користувачі проаналізували інформацію в ланцюжку і виявили, що адреса, яка починається з 0x44Af, була офіційно створена сьогодні та отримана більше 230 разів після відкриття airdrop, і всі отримані токени були продано та обміняно на ETH, USDT і USDC з прибутком приблизно 39 000 доларів США.
У цей час також стався збій контракт Connext airdrop, і деякі користувачі повідомили, що вони не можуть успішно вимагати airdrop.У спільноті почали ширитися чутки, що офіційну заявку airdrop закрито через лазівку.
**Однак правда полягає в тому, що в контракті Airdrop Connext немає жодної лазівки. **
Crypto KOL "Zhuzhu Bang" заявив, що контракт на розсилку Connext є безпечним, і його початковий аналіз ввів читачів в оману. Він сказав, що хоча в контракті Airdrop Connext передбачено, що відправник і одержувач airdrop можуть бути різними адресами, оригінальна адреса повинна бути підписана для авторизації, перш ніж її можна буде викликати.
«Перший метод запиту — це claimBySignature, а останній параметр — це передача інформації про підпис, і цей «підпис» повертає сам користувач за допомогою смарт-контракту чи інших методів. Тож ми можемо зрозуміти це так: _signature — це облікові дані , _recipient user За допомогою цього сертифіката ви можете отримати маркер адреси _beneficiary." Він додав, що адреса, що починається з 0x44Af, має бути студією для збору маркерів, а не сам контракт має лазівку.
(Інформація про частину розумного контракту)
Команда безпеки SlowMist повідомила Odaily Planet Daily, що в контракті про аірдроп Connext немає очевидної лазівки, через яку інші претендували на еірдроп.
Користувачі можуть вимагати токени NEXT за допомогою функції claimBySignature контракту NEXT Distributor, у якому є ролі одержувача та бенефіціара: **Роль одержувача використовується для отримання заявлених токенів NEXT, а роль бенефіціара – це адреса, яка має право на отримання NEXT. токенів, **що є. Кваліфікація повітряних інвестицій була визначена під час оголошення протоколу Connext. Коли користувач вимагає токени NEXT, контракт виконуватиме дві перевірки: **Перша — це перевірка підпису бенефіціара, а друга — перевірка, чи має бенефіціар права на отримання розсилки. **
Під час першої перевірки буде перевірено, чи одержувач, переданий користувачем, підписаний роллю бенефіціара, тому передана за бажанням адреса одержувача не може пройти перевірку без підпису бенефіціара. Якщо ви вкажете адресу бенефіціара для створення підпису, навіть якщо ви зможете пройти перевірку підпису, ви не зможете пройти другу перевірку на придатність до airdrop. Перевірка відповідності airdrop здійснюється через сертифікат Merkel, який має бути офіційно згенерований протоколом Connext. Таким чином, користувачі, які не мають права отримувати розсилки, не можуть обійти перевірку, щоб отримати розсилки від інших.
**Підсумовуючи наведений вище аналіз, якщо адреса користувача A відповідає вимогам для подання заявки, він може дозволити подати заявку користувачу B. Причина, чому адреса, яка починається з 0x44Af, може претендувати на таку кількість токенів цього разу, полягає в тому, що суб’єкт контролює Multiple qualified. адреси авторизують це, і це не хакер, який використовує вразливість. **
Однак цікаво те, що перед відкриттям airdrop Connext проводив «кампанію» проти адрес відьом, запрошував спільноту допомогти команді перевірити адреси відьом і був готовий віддати 25% відновленого NEXT як винагороду репортер. Згідно з офіційними даними, 5 725 адрес Witch були врешті-решт ідентифіковані та видалені зі списку відповідних, а 5 932 065 токенів було відновлено.
Однак, судячи з сьогоднішнього виступу, операція проти відьом, здається, призвела до величезної кількості риби, яка проскочила крізь сітку, і навіть додала багато перешкод для всього повітряного десантування.
Основний учасник Connext Арджун Бхуптані опублікував, що адреса, яка починається з 0x44Af, є ботом Witch, який надсилає велику кількість спам-запитів до серверної частини Tokensoft, що спричиняє збій його API. Це також може бути причиною того, чому не можна використовувати інтерфейс airdrop-претензії. . (Повсякденна примітка: щоб запобігти претензіям інших, це може бути, щоб отримати кращу ціну продажу.)
Хороша новина полягає в тому, що офіційні особи звернули увагу на цю проблему, і airdrop буде відновлено. Connext опублікував заяву, у якій говориться: «Ми знаємо про проблему, яка впливає на веб-сайт airdrop, через яку користувачі не можуть подати заявку. Ми виявили активність ботів, які перевантажили сервери наших партнерів і постачальників послуг Tokensoft. Вони активно працюють над вирішенням цієї проблеми, щоб увімкнути нормальна претензія. Скоро все має повернутися до нормального."
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Connext airdrop farse: лазівки та нескінченні відьми
Оригінал | Odaily Planet Daily
Автор | Цінь Сяофен
Після двох тижнів очікування протокол сумісності рівня 2 Connext нарешті відкрив програму airdrop сьогодні ввечері (URL: Але був власний інцидент.
Всього через півгодини після відкриття програми криптографічний KOL "Zhuzhu Bang" опублікував повідомлення про те, що в контракті про аірдроп Connext є підозра, що він має лазівку. "Вчені" можуть використовувати цю лазівку, щоб викрасти необмежену кількість аірдропів NEXT від інших користувачів, і додається адреса, що починається з 0x44Af (клацніть, щоб перейти) ) часті записи претензій.
Новина була широко поширена в спільноті, а потім деякі користувачі проаналізували інформацію в ланцюжку і виявили, що адреса, яка починається з 0x44Af, була офіційно створена сьогодні та отримана більше 230 разів після відкриття airdrop, і всі отримані токени були продано та обміняно на ETH, USDT і USDC з прибутком приблизно 39 000 доларів США.
У цей час також стався збій контракт Connext airdrop, і деякі користувачі повідомили, що вони не можуть успішно вимагати airdrop.У спільноті почали ширитися чутки, що офіційну заявку airdrop закрито через лазівку.
**Однак правда полягає в тому, що в контракті Airdrop Connext немає жодної лазівки. **
Crypto KOL "Zhuzhu Bang" заявив, що контракт на розсилку Connext є безпечним, і його початковий аналіз ввів читачів в оману. Він сказав, що хоча в контракті Airdrop Connext передбачено, що відправник і одержувач airdrop можуть бути різними адресами, оригінальна адреса повинна бути підписана для авторизації, перш ніж її можна буде викликати.
«Перший метод запиту — це claimBySignature, а останній параметр — це передача інформації про підпис, і цей «підпис» повертає сам користувач за допомогою смарт-контракту чи інших методів. Тож ми можемо зрозуміти це так: _signature — це облікові дані , _recipient user За допомогою цього сертифіката ви можете отримати маркер адреси _beneficiary." Він додав, що адреса, що починається з 0x44Af, має бути студією для збору маркерів, а не сам контракт має лазівку.
(Інформація про частину розумного контракту)
Команда безпеки SlowMist повідомила Odaily Planet Daily, що в контракті про аірдроп Connext немає очевидної лазівки, через яку інші претендували на еірдроп.
Користувачі можуть вимагати токени NEXT за допомогою функції claimBySignature контракту NEXT Distributor, у якому є ролі одержувача та бенефіціара: **Роль одержувача використовується для отримання заявлених токенів NEXT, а роль бенефіціара – це адреса, яка має право на отримання NEXT. токенів, **що є. Кваліфікація повітряних інвестицій була визначена під час оголошення протоколу Connext. Коли користувач вимагає токени NEXT, контракт виконуватиме дві перевірки: **Перша — це перевірка підпису бенефіціара, а друга — перевірка, чи має бенефіціар права на отримання розсилки. **
Під час першої перевірки буде перевірено, чи одержувач, переданий користувачем, підписаний роллю бенефіціара, тому передана за бажанням адреса одержувача не може пройти перевірку без підпису бенефіціара. Якщо ви вкажете адресу бенефіціара для створення підпису, навіть якщо ви зможете пройти перевірку підпису, ви не зможете пройти другу перевірку на придатність до airdrop. Перевірка відповідності airdrop здійснюється через сертифікат Merkel, який має бути офіційно згенерований протоколом Connext. Таким чином, користувачі, які не мають права отримувати розсилки, не можуть обійти перевірку, щоб отримати розсилки від інших.
**Підсумовуючи наведений вище аналіз, якщо адреса користувача A відповідає вимогам для подання заявки, він може дозволити подати заявку користувачу B. Причина, чому адреса, яка починається з 0x44Af, може претендувати на таку кількість токенів цього разу, полягає в тому, що суб’єкт контролює Multiple qualified. адреси авторизують це, і це не хакер, який використовує вразливість. **
Однак цікаво те, що перед відкриттям airdrop Connext проводив «кампанію» проти адрес відьом, запрошував спільноту допомогти команді перевірити адреси відьом і був готовий віддати 25% відновленого NEXT як винагороду репортер. Згідно з офіційними даними, 5 725 адрес Witch були врешті-решт ідентифіковані та видалені зі списку відповідних, а 5 932 065 токенів було відновлено.
Однак, судячи з сьогоднішнього виступу, операція проти відьом, здається, призвела до величезної кількості риби, яка проскочила крізь сітку, і навіть додала багато перешкод для всього повітряного десантування.
Основний учасник Connext Арджун Бхуптані опублікував, що адреса, яка починається з 0x44Af, є ботом Witch, який надсилає велику кількість спам-запитів до серверної частини Tokensoft, що спричиняє збій його API. Це також може бути причиною того, чому не можна використовувати інтерфейс airdrop-претензії. . (Повсякденна примітка: щоб запобігти претензіям інших, це може бути, щоб отримати кращу ціну продажу.)
Хороша новина полягає в тому, що офіційні особи звернули увагу на цю проблему, і airdrop буде відновлено. Connext опублікував заяву, у якій говориться: «Ми знаємо про проблему, яка впливає на веб-сайт airdrop, через яку користувачі не можуть подати заявку. Ми виявили активність ботів, які перевантажили сервери наших партнерів і постачальників послуг Tokensoft. Вони активно працюють над вирішенням цієї проблеми, щоб увімкнути нормальна претензія. Скоро все має повернутися до нормального."