Аналіз події купівлі Atomicals Market на 0 юанів

Надано Деніелом Таном і джерело: MetaTrust Labs

01 Підсумок

2023-11-21 На торговій платформі Atomicals Market, про яку багато говорять, стався інцидент із покупкою на 0 юанів, що призвело до того, що Atomicals Protocol та її торгова платформа Atomicals Market нещодавно потрапили в шторм. Низка запитань про токен ARC-20 викликала широке обговорення та запитання.

Atomicals Protocol та Atomicals Market

Atomicals Market — це маркетплейс ARC-20, який використовує протокол Atomicals для транзакцій ARC-20 (Atomicals Market і Atomicals Protocls — це не одна й та сама компанія)

21 числа Atomicals Market повідомив, що виявив недолік PBST у своєму торговому процесі на основі протоколу Atomicals, що призвело до того, що користувачі зазнали збитків під час торгівлі токеном atom.

У той же час Atomicals Protocol спростував зауваження Atomicals Market у повідомленні від 24 числа, зазначивши, що причиною проблеми була недбалість Atomicals Market, яка використовувала SIGHASH_NONE для підписання транзакцій, наражаючи своїх користувачів на небезпеку. Atomicals Protocol заявив і попередив, що Atomicals Market не повинен використовувати SIGHASH_NONE для підписання (варто зазначити, що SatsX, який також є торговою платформою Atomicals, схоже, не перебуває в подібній ситуації)

Після аналізу було виявлено, що основною причиною покупки в 0 юанів було те, що Atomicals Market неправильно використовував SIGHASH_NONE в PSBT (TX:1623bf2997cde779dd9e0e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93)

02 Передумови

Перш ніж ми підемо далі, важливо знати кілька речей, оскільки BTC не використовує модель облікового запису, як Ethereum.

UTXO

Вихід невитрачених транзакцій Bitcoin (UTXO) являє собою певну частину власності на Bitcoin. На відміну від традиційних систем, які використовують рахунки та баланси, Біткойн працює через ці окремі розділи Біткойн. Кожен UTXO визначається певним значенням, яке представляє різні частини Bitcoin, які передаються в транзакції.

Під час транзакції UTXO споживається і більше не існує. В результаті ця операція генерує один або кілька нових UTXO. Колекція цих UTXO, відома як набори UTXO, підтримується та оновлюється всіма вузлами мережі. Це відбувається щоразу, коли новий блок обробляє транзакції, які генерують і усувають UTXO. Набори UTXO відіграють ключову роль у наданні вузлам можливості незалежно підтверджувати легітимність транзакцій і біткоїнів, які вони мають намір витратити.

PSBT

Частково підписані біткойн-транзакції (PSBT) - це протокол в екосистемі Bitcoin, який спрямований на підвищення зручності передачі непідписаних транзакцій, дозволяючи кільком учасникам підписувати одну транзакцію одночасно.

PSBT (частково підписана біткойн-транзакція) пропонує корисність у різних сценаріях. Розгляньте можливість створення транзакції CoinJoin за участю трьох людей. Під час цього процесу кожен з трьох учасників надсилає повідомлення центральному координатору. Повідомлення містить детальну інформацію про UTXO (невитрачені транзакції), які вони хочуть включити в CoinJoin. Крім того, кожен учасник вказує адресу, на яку повинна бути повернута його частка біткоіни після завершення транзакції CoinJoin.

03 У чому проблема?

Atomicals Protocol згадує, що на безпечному етапі обміну PBST продавець підписує 2-й вхід, що містить ARC20 Atomical, і 2-й вихід, що містить суму платежу.

Продавцям потрібно використовувати SIGHASH_SINGLE | ПІСЛЯ ТОГО, ЯК БУДЬ-ХТОCANPAY БУДЕ ПІДПИСАНИЙ, ПОКУПЦІ МОЖУТЬ ДОДАТИ СВОЇ ДАНІ, ЩОБ ОТРИМАТИ КОШТИ, І ДОДАТИ АДРЕСУ ОТРИМАННЯ, ЯКУ ВОНИ ОТРИМАЮТЬ ДЛЯ ПОКУПКИ ТОКЕНІВ ARC20.

Потім, замість того, щоб використовувати SIGHASH_SINGLE у свопі, Atomicals Market використовує SIGHASH_NONE.

МИ МОЖЕМО ПОГЛЯНУТИ НА ВІДМІННОСТІ МІЖ NONE І SINGLE:

Оскільки Atomicals Market використовує NONE, підписується лише один вхід, що означає, що перевіряється лише кількість проданих токенів. Якщо вихід не підписаний, це означає, що отримані токени не верифіковані. Як наслідок, зловмисники можуть купувати токени користувачів, не сплачуючи токени.

04 Втрата активів

33 000 $ATOM

05 Згодом

Atomicals Market обіцяє компенсувати користувачам їхні втрати.

06 Рекомендації з безпеки

Команда проекту повинна глибоко вивчити протоколи, на які покладаються, а продукт потрібно належним чином протестувати та перевірити, звертаючи увагу на самі протоколи, а також на рекомендації силових структур.