风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Connext空投闹剧:漏洞乌龙和查不完的女巫

项目高一尺,女巫高一丈。

秦晓峰
秦晓峰
热度 ...

原文作者:秦晓峰

原文来源:Odaily星球日报

在等待了两周时间, Layer 2 互操作性协议 Connext 今晚终于开放空投申领(网址:https://airdrop.connext.network/claim/52),但却闹出一场乌龙事件。

申领开放刚过半小时,加密 KOL 「猪猪 Bang」发文称,Connext 空投合约疑似存在漏洞,“科学家”可以利用漏洞无限盗取其他用户的 NEXT 空投,并附上了 0x44Af 开头地址(点击跳转)频繁申领记录。

next

该消息在社区中广泛传播,随后有用户分析链上信息发现,0x44Af 开头地址的地址今日才正式创建,并在空投开放后领取次数超过 230 次,所得代币全部卖出换成 ETH、USDT 与 USDC,获利约 3.9 万美元。

此时,Connext 空投合约也出现故障,部分用户反映无法成功领取空投,社群中开始流传着官方因为漏洞关闭了空投申领的传言。

然而,事情的真相是,Connext 空投合约并没有漏洞。

加密 KOL「猪猪 Bang」表示,Connext 空投合约是安全的,自己最开始的分析误导了读者。他表示,虽然 Connext 空投合约规定了空投发送者和领取者可以是不同的地址,但却需要原始地址进行签名授权才能调用。

“首先领取方法为 claimBySignature,最后一个参数就是传递签名信息,而这个 “签名” 是用户自己去利用智能合约或其他方式去调用返回的。所以我们可以理解为:_signature 就是一个凭证,_recipient 用户拿着这个凭证就可以去获取 _beneficiary 地址的 token 了。”他补充说,0x44Af 开头地址应该是工作室进行代币归集,而不是合约本身存在漏洞。

next

(智能合约部分信息)

关于【Connext空投闹剧:漏洞乌龙和查不完的女巫】的延伸阅读

  • 「洗牌潮」来袭,Pizza和DOG成了比特币上的新宠

    比特币生态活跃,DOGE和Pizza最热门。比特币价格上涨,市场好转,链上Gas也涨。Runes生态市值翻倍,DOGE突破新高,空投价值达8000美元。BRC20出现热门资产Pizza,Unisat将在48小时内完成空投。比特币生态洗牌,狗和披萨席卷。场外交易商观察价格和交易量判断资产热度。铭文是Unisat的阴谋,空投成本约200万美元。Runes占主导地位,但BRC20仍有市场。Dog市值9亿,Leonidas向Binance申请上币。Runes和Ordinal创始人持续投资建设,币圈关注度高的项目有资金流动和市场热度。Dog市值接近Ordinal,预期上Binance。Runes宣传到位,抓住币圈关键玩家,产生巨大影响力。

  • Bitget 研究院:BTC 站稳 71000 美元尝试突破新高,Aethir 宣布发币空投

    比特币昨日冲高回落,加密市场整体稳定上涨。比特币生态和Web3游戏板块表现强劲,CARV、CKB、TAIKO、FLOKI等代币受用户热捧。近期多国央行降息预期升高,有利于加密市场和风险资产。比特币持仓量增加,资金费率和隐含波动率上升,市场看好未来走势。伴随大环境向好,加密行业生态和TGE计划活跃,投资者可关注Bitget研究院的造富机会日报。比特币生态和Web3游戏板块异动,NOT、PIXL、BURGER等代币涨幅明显。用户热搜代币为CARV、CKB、TAIKO,项目融资和节点销售活动受关注。CKB代币受主力资金青睐,价格暴涨30%。TAIKO是一个去中心化的二层网络,受全球用户关注。欧美地区关注基本面项目,CIS地区关注TON生态、AI项目。TON生态最大的流动性质押服务商Tonstakers和Bemo开放空投活动,未来可以换成$BMO代币。

慢雾安全团队告诉Odaily星球日报,Connext 空投合约并没有存在明显漏洞,导致他人冒领空投。

用户可以通过 NEXT Distributor 合约的 claimBySignature 函数领取 NEXT 代币,其中存在 recipient 与 beneficiary 角色:recipient 角色用于接收 claim 的 NEXT 代币,beneficiary 角色是有资格领取 NEXT 代币的地址,其在 Connext 协议公布空投资格时就已经确定。在用户进行 NEXT 代币 claim 时,合约会进行两次检查:一是检查 beneficiary 角色的签名,二是检查 beneficiary 角色是否有资格领取空投。

在进行第一次检查时其会检查用户传入的 recipient 是否是由 beneficiary 角色进行签名,因此随意传入 recipient 地址在未经过 beneficiary 签名的情况下是无法通过检查的。如果指定一个 beneficiary 地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。空投领取资格检查是通过默克尔证明进行检查的,其证明应由 Connext 协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。

总结一下上面的分析,用户 A 地址如果有资格申领,可以授权给 B 进行申领,而这次 0x44Af 开头地址的地址之所以可以申领如此多的代币,是因为该实体控制的多个合格地址对其进行授权,并非黑客利用漏洞攻击。

不过,有意思的是,在空投开放前,Connext 就针对女巫地址进行「围剿」,邀请社区帮助团队筛选女巫地址,并愿意将追回 NEXT 的 25% 作为奖励送给举报者。根据官方数据,最终 5,725个女巫地址被识别并从资格列表中删除,收回 5,932,065枚代币。

不过,从今晚的表现来看,反女巫行动似乎还留下了体量巨大的漏网之鱼,甚至还给整个空投平添了许多障碍。

Connext 核心贡献者 Arjun Bhuptani 发文表示,0x44Af开头地址是一个女巫 bot,该 bot 向 Tokensoft 后台发送大量垃圾请求导致其 API 崩溃,这也可能是空投申领界面无法使用的原因。(Odaily 注:阻止其他人申领,可能是想获得更好的出售价格。)

好消息是,官方已经注意到这一问题,空投将重新开放。Connext 发文表示:“我们已意识到影响空投网站的问题,导致用户无法领取。我们检测到机器人活动导致我们的合作伙伴和服务提供商服务器 Tokensoft 超载。他们正在积极努力解决这个问题,以实现正常的索赔。一切都应该很快就会恢复正常。”

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:秦晓峰,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1693961407.html

下一篇:

交易量和流动性低迷,比特币或跌至2.3万美元?

比特币已经抹去了自灰度胜诉以来的所有涨幅,交易量和流动性极低

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5