BTC $63,978.68 -0.37%
ETH $1,847.94 -1.26%
BNB $566.54 -1.65%
XRP $1.09 -1.40%
SOL $75.30 -0.81%
TRX $0.3232 +0.11%
DOGE $0.0726 -0.73%
ADA $0.1661 +1.93%
BCH $219.06 -1.21%
LINK $8.25 -1.56%
HYPE $60.52 -4.00%
AAVE $91.31 -0.69%
SUI $0.7428 -0.70%
XLM $0.1870 -1.78%
ZEC $553.89 +0.53%
BTC $63,978.68 -0.37%
ETH $1,847.94 -1.26%
BNB $566.54 -1.65%
XRP $1.09 -1.40%
SOL $75.30 -0.81%
TRX $0.3232 +0.11%
DOGE $0.0726 -0.73%
ADA $0.1661 +1.93%
BCH $219.06 -1.21%
LINK $8.25 -1.56%
HYPE $60.52 -4.00%
AAVE $91.31 -0.69%
SUI $0.7428 -0.70%
XLM $0.1870 -1.78%
ZEC $553.89 +0.53%

慢雾:Connext 空投领取资格通过默克尔证明进行检查,没有资格领取空投的用户无法绕过检查领取他人的空投

2023-09-06 00:11:27
收藏

ChainCatcher 消息,据慢雾区情报,有部分账户的 NEXT 代币被 Claim 到非预期的地址,慢雾安全团队跟进分析后分享简析如下:

用户可以通过 NEXT Distributor 合约的 claimBySignature 函数领取 NEXT 代币。其中存在 recipient 与 beneficiary 角色,recipient 角色用于接收 claim 的 NEXT 代币,beneficiary 角色是有资格领取 NEXT 代币的地址,其在 Connext 协议公布空投资格时就已经确定。

在用户进行 NEXT 代币 claim 时,合约会进行两次检查:一是检查 beneficiary 角色的签名,二是检查 beneficiary 角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的 recipient 是否是由 beneficiary 角色进行签名,因此随意传入 recipient 地址在未经过 beneficiary 签名的情况下是无法通过检查的。

如果指定一个 beneficiary 地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。空投领取资格检查是通过默克尔证明进行检查的,其证明应由 Connext 协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。

app_icon
ChainCatcher 与创新者共建Web3世界