慢雾：Connext空投领取资格证明由官方生成，无资格用户无法领取他人空投

链观CHAINLOOK消息， 据慢雾区情报，有部分账户的NEXT代币被claim到非预期的地址，慢雾安全团队跟进分析后分享简析如下： 用户可以通过NEXT Distributor合约的claimBySignature函数领取NEXT代币。其中存在recipient与beneficiary角色，recipient角色用于接收claim的NEXT代币，beneficiary角色是有资格领取NEXT代币的地址，其在Connext协议公布空投资格时就已经确定。 在用户进行NEXT代币claim时，合约会进行两次检查：一是检查beneficiary角色的签名，二是检查beneficiary角色是否有资格领取空投。 在进行第一次检查时其会检查用户传入的recipient是否是由beneficiary角色进行签名，因此随意传入recipient地址在未经过beneficiary签名的情况下是无法通过检查的。如果指定一个beneficiary地址进行构造签名即使可以通过签名检查，但却无法通过第二个对空投领取资格的检查。 空投领取资格检查是通过默克尔证明进行检查的，其证明应由Connext协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。

查看原文

标签：慢雾用户空投

免责声明：本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况，及遵守所在国家和地区的相关法律法规。