PANews 9月5日消息,據慢霧區情報,有部分賬戶的 NEXT 代幣被 claim 到非預期的地址,慢霧安全團隊跟進分析後分享簡析如下:

用戶可以通過 NEXT Distributor 合約的 claimBySignature 函數領取 NEXT 代幣。其中存在 recipient 與 beneficiary 角色,recipient 角色用於接收 claim 的 NEXT 代幣,beneficiary 角色是有資格領取 NEXT 代幣的地址,其在 Connext 協議公佈空投資格時就已經確定。

在用戶進行 NEXT 代幣 claim 時,合約會進行兩次檢查:一是檢查 beneficiary 角色的簽名,二是檢查 beneficiary 角色是否有資格領取空投。在進行第一次檢查時其會檢查用戶傳入的 recipient 是否是由 beneficiary 角色進行簽名,因此隨意傳入 recipient 地址在未經過 beneficiary 簽名的情況下是無法通過檢查的。如果指定一個 beneficiary 地址進行構造簽名即使可以通過簽名檢查,但卻無法通過第二個對空投領取資格的檢查。空投領取資格檢查是通過默克爾證明進行檢查的,其證明應由 Connext 協議官方生成。因此沒有資格領取空投的用戶是無法繞過檢查領取他人的空投的。