慢雾：Connextのエアドロップ受取資格はメルクル証明によって確認され、資格のないユーザーはチェックを回避して他人のエアドロップを受け取ることはできません。

ChainCatcher のメッセージによると、SlowMist の情報によれば、一部のアカウントの NEXT トークンが予期しないアドレスにクレームされているとのことです。SlowMist セキュリティチームが分析を行った結果、以下の簡単な分析を共有します：

ユーザーは NEXT Distributor コントラクトの claimBySignature 関数を通じて NEXT トークンを受け取ることができます。この中には recipient と beneficiary の役割が存在します。recipient 役割はクレームされた NEXT トークンを受け取るために使用され、beneficiary 役割は NEXT トークンを受け取る資格のあるアドレスであり、これは Connext プロトコルがエアドロップの資格を発表した時点で既に確定しています。

ユーザーが NEXT トークンをクレームする際、コントラクトは二回のチェックを行います。一つは beneficiary 役割の署名を確認すること、もう一つは beneficiary 役割がエアドロップを受け取る資格があるかどうかを確認することです。最初のチェックでは、ユーザーが渡した recipient が beneficiary 役割によって署名されているかどうかを確認します。そのため、任意の recipient アドレスを beneficiary の署名なしに渡すことはできません。

指定した beneficiary アドレスで署名を構築した場合、署名チェックは通過できますが、エアドロップ受領資格の二回目のチェックは通過できません。エアドロップ受領資格のチェックはメルクル証明を通じて行われ、その証明は Connext プロトコルの公式によって生成される必要があります。したがって、エアドロップを受け取る資格のないユーザーは、他人のエアドロップを回避して受け取ることはできません。