慢霧：Connext 空投領取資格通過默克爾證明進行檢查，沒有資格領取空投的用戶無法繞過檢查領取他人的空投

ChainCatcher 消息，据慢霧區情報，有部分帳戶的 NEXT 代幣被 Claim 到非預期的地址，慢霧安全團隊跟進分析後分享簡析如下：

用戶可以通過 NEXT Distributor 合約的 claimBySignature 函數領取 NEXT 代幣。其中存在 recipient 與 beneficiary 角色，recipient 角色用於接收 claim 的 NEXT 代幣，beneficiary 角色是有資格領取 NEXT 代幣的地址，其在 Connext 協議公布空投資格時就已經確定。

在用戶進行 NEXT 代幣 claim 時，合約會進行兩次檢查：一是檢查 beneficiary 角色的簽名，二是檢查 beneficiary 角色是否有資格領取空投。在進行第一次檢查時其會檢查用戶傳入的 recipient 是否是由 beneficiary 角色進行簽名，因此隨意傳入 recipient 地址在未經過 beneficiary 簽名的情況下是無法通過檢查的。

如果指定一個 beneficiary 地址進行構造簽名即使可以通過簽名檢查，但卻無法通過第二個對空投領取資格的檢查。空投領取資格檢查是通過默克爾證明進行檢查的，其證明應由 Connext 協議官方生成。因此沒有資格領取空投的用戶是無法繞過檢查領取他人的空投的。