「金色财经」慢雾：NEXT空投领取资格检查通过默克尔证明进行，没有资格领取空投的用户无法绕过检查领取他人空投

「金色财经」据金融报道，根据慢雾区的情报，一些账户的NEXT代币被claim到达了意想不到的地址。后续分析后，慢雾安全团队分享如下：用户可以通过NEXTDistributor合同的claimbysignature函数获得NEXT代币。有recipient和beneficiary角色，recipient角色用于接收claim的NEXT代币。beneficiary角色是有资格获得NEXT代币的地址，在conext协议公布空投资格时已经确定。当用户进行NEXT代币claim时，合同将进行两次检查：一是检查beneficiary角色的签名，二是检查beneficiary角色是否有资格获得空投。第一次检查时，会检查用户传入的recipient是否由beneficiary角色签名，因此未经beneficiary签名，可以随意传入recipient地址。如果指定一个beneficiary地址进行结构签名，即使可以通过签名检查，也不能通过第二次空投资格检查。空投资格考试是通过默克尔证书进行的，证书应由Conext协议正式生成。因此，没有资格获得空投的用户不能绕过检查获得他人的空投。