슬로우 미스트: Connext 에어드랍 수령 자격은 머클 증명을 통해 확인되며, 자격이 없는 사용자는 확인을 우회하여 다른 사람의 에어드랍을 수령할 수 없습니다

ChainCatcher 메시지에 따르면, 느린 안개 지역 정보에 의하면 일부 계정의 NEXT 토큰이 예상치 못한 주소로 청구되었습니다. 느린 안개 보안 팀이 분석한 후 간단한 분석을 공유합니다:

사용자는 NEXT Distributor 계약의 claimBySignature 함수를 통해 NEXT 토큰을 받을 수 있습니다. 이 과정에서 recipient와 beneficiary 역할이 존재합니다. recipient 역할은 청구된 NEXT 토큰을 받는 데 사용되며, beneficiary 역할은 NEXT 토큰을 받을 자격이 있는 주소로, Connext 프로토콜이 에어드롭 자격을 발표할 때 이미 결정됩니다.

사용자가 NEXT 토큰을 청구할 때, 계약은 두 번의 검사를 수행합니다: 첫 번째는 beneficiary 역할의 서명을 확인하는 것이고, 두 번째는 beneficiary 역할이 에어드롭을 받을 자격이 있는지를 확인하는 것입니다. 첫 번째 검사에서는 사용자가 전달한 recipient가 beneficiary 역할에 의해 서명되었는지를 확인하므로, 임의로 recipient 주소를 전달하더라도 beneficiary 서명 없이 검사를 통과할 수 없습니다.

지정된 beneficiary 주소로 서명을 구성하더라도 서명 검사를 통과할 수 있지만, 두 번째 에어드롭 수령 자격 검사에서는 통과할 수 없습니다. 에어드롭 수령 자격 검사는 머클 증명을 통해 확인되며, 이 증명은 Connext 프로토콜 공식에서 생성해야 합니다. 따라서 에어드롭을 받을 자격이 없는 사용자는 검사를 우회하여 다른 사람의 에어드롭을 받을 수 없습니다.