Connext空投闹剧:漏洞乌龙和查不完的女巫
项目高一尺,女巫高一丈。
原文作者:秦晓峰
原文来源:Odaily星球日报
在等待了两周时间, Layer 2 互操作性协议 Connext 今晚终于开放空投申领(网址:https://airdrop.connext.network/claim/52),但却闹出一场乌龙事件。
申领开放刚过半小时,加密 KOL 「猪猪 Bang」发文称,Connext 空投合约疑似存在漏洞,“科学家”可以利用漏洞无限盗取其他用户的 NEXT 空投,并附上了 0x44Af 开头地址(点击跳转)频繁申领记录。
该消息在社区中广泛传播,随后有用户分析链上信息发现,0x44Af 开头地址的地址今日才正式创建,并在空投开放后领取次数超过 230 次,所得代币全部卖出换成 ETH、USDT 与 USDC,获利约 3.9 万美元。
此时,Connext 空投合约也出现故障,部分用户反映无法成功领取空投,社群中开始流传着官方因为漏洞关闭了空投申领的传言。
然而,事情的真相是,Connext 空投合约并没有漏洞。
加密 KOL「猪猪 Bang」表示,Connext 空投合约是安全的,自己最开始的分析误导了读者。他表示,虽然 Connext 空投合约规定了空投发送者和领取者可以是不同的地址,但却需要原始地址进行签名授权才能调用。
“首先领取方法为 claimBySignature,最后一个参数就是传递签名信息,而这个 “签名” 是用户自己去利用智能合约或其他方式去调用返回的。所以我们可以理解为:_signature 就是一个凭证,_recipient 用户拿着这个凭证就可以去获取 _beneficiary 地址的 token 了。”他补充说,0x44Af 开头地址应该是工作室进行代币归集,而不是合约本身存在漏洞。
(智能合约部分信息)
关于【Connext空投闹剧:漏洞乌龙和查不完的女巫】的延伸阅读
「洗牌潮」来袭,Pizza和DOG成了比特币上的新宠
比特币生态活跃,DOGE和Pizza最热门。比特币价格上涨,市场好转,链上Gas也涨。Runes生态市值翻倍,DOGE突破新高,空投价值达8000美元。BRC20出现热门资产Pizza,Unisat将在48小时内完成空投。比特币生态洗牌,狗和披萨席卷。场外交易商观察价格和交易量判断资产热度。铭文是Unisat的阴谋,空投成本约200万美元。Runes占主导地位,但BRC20仍有市场。Dog市值9亿,Leonidas向Binance申请上币。Runes和Ordinal创始人持续投资建设,币圈关注度高的项目有资金流动和市场热度。Dog市值接近Ordinal,预期上Binance。Runes宣传到位,抓住币圈关键玩家,产生巨大影响力。
Bitget 研究院:BTC 站稳 71000 美元尝试突破新高,Aethir 宣布发币空投
比特币昨日冲高回落,加密市场整体稳定上涨。比特币生态和Web3游戏板块表现强劲,CARV、CKB、TAIKO、FLOKI等代币受用户热捧。近期多国央行降息预期升高,有利于加密市场和风险资产。比特币持仓量增加,资金费率和隐含波动率上升,市场看好未来走势。伴随大环境向好,加密行业生态和TGE计划活跃,投资者可关注Bitget研究院的造富机会日报。比特币生态和Web3游戏板块异动,NOT、PIXL、BURGER等代币涨幅明显。用户热搜代币为CARV、CKB、TAIKO,项目融资和节点销售活动受关注。CKB代币受主力资金青睐,价格暴涨30%。TAIKO是一个去中心化的二层网络,受全球用户关注。欧美地区关注基本面项目,CIS地区关注TON生态、AI项目。TON生态最大的流动性质押服务商Tonstakers和Bemo开放空投活动,未来可以换成$BMO代币。
慢雾安全团队告诉Odaily星球日报,Connext 空投合约并没有存在明显漏洞,导致他人冒领空投。
用户可以通过 NEXT Distributor 合约的 claimBySignature 函数领取 NEXT 代币,其中存在 recipient 与 beneficiary 角色:recipient 角色用于接收 claim 的 NEXT 代币,beneficiary 角色是有资格领取 NEXT 代币的地址,其在 Connext 协议公布空投资格时就已经确定。在用户进行 NEXT 代币 claim 时,合约会进行两次检查:一是检查 beneficiary 角色的签名,二是检查 beneficiary 角色是否有资格领取空投。
在进行第一次检查时其会检查用户传入的 recipient 是否是由 beneficiary 角色进行签名,因此随意传入 recipient 地址在未经过 beneficiary 签名的情况下是无法通过检查的。如果指定一个 beneficiary 地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。空投领取资格检查是通过默克尔证明进行检查的,其证明应由 Connext 协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。
总结一下上面的分析,用户 A 地址如果有资格申领,可以授权给 B 进行申领,而这次 0x44Af 开头地址的地址之所以可以申领如此多的代币,是因为该实体控制的多个合格地址对其进行授权,并非黑客利用漏洞攻击。
不过,有意思的是,在空投开放前,Connext 就针对女巫地址进行「围剿」,邀请社区帮助团队筛选女巫地址,并愿意将追回 NEXT 的 25% 作为奖励送给举报者。根据官方数据,最终 5,725个女巫地址被识别并从资格列表中删除,收回 5,932,065枚代币。
不过,从今晚的表现来看,反女巫行动似乎还留下了体量巨大的漏网之鱼,甚至还给整个空投平添了许多障碍。
Connext 核心贡献者 Arjun Bhuptani 发文表示,0x44Af开头地址是一个女巫 bot,该 bot 向 Tokensoft 后台发送大量垃圾请求导致其 API 崩溃,这也可能是空投申领界面无法使用的原因。(Odaily 注:阻止其他人申领,可能是想获得更好的出售价格。)
好消息是,官方已经注意到这一问题,空投将重新开放。Connext 发文表示:“我们已意识到影响空投网站的问题,导致用户无法领取。我们检测到机器人活动导致我们的合作伙伴和服务提供商服务器 Tokensoft 超载。他们正在积极努力解决这个问题,以实现正常的索赔。一切都应该很快就会恢复正常。”
免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:秦晓峰,如有侵权请联系删除。转载或引用请注明文章出处!
