Phân tích sự kiện mua 0 nhân dân tệ của Atomicals Market

Đóng góp bởi Daniel Tan và nguồn: MetaTrust Labs

01 Tóm tắt

2023-11-21 Nền tảng giao dịch Atomicals Market được nhắc đến nhiều có sự cố mua 0 nhân dân tệ, điều này đã khiến Atomicals Protocol và nền tảng giao dịch Atomicals Market của nó rơi vào một cơn bão gần đây. Một loạt các câu hỏi về mã thông báo ARC-20 đã gây ra cuộc thảo luận và đặt câu hỏi rộng rãi.

** Giao thức nguyên tử &; Thị trường nguyên tử **

Atomicals Market là một thị trường ARC-20 sử dụng Giao thức Nguyên tử cho các giao dịch ARC-20 (Atomicals Market và Atomicals Protocls không phải là cùng một công ty)

Atomicals Market đã đăng vào ngày 21 rằng họ đã tìm thấy lỗ hổng PBST trong quy trình giao dịch dựa trên Giao thức nguyên tử của mình, dẫn đến việc người dùng gặp thua lỗ khi giao dịch mã thông báo atom.

Đồng thời, Atomicals Protocol đã phản bác nhận xét của Atomicals Market trong một bài đăng vào ngày 24, chỉ ra rằng nguyên nhân của vấn đề là do sơ suất của Atomicals Market, sử dụng SIGHASH \ _NONE để ký giao dịch, khiến người dùng gặp rủi ro. Atomicals Protocol đã tuyên bố và cảnh báo rằng Atomicals Market không nên sử dụng SIGHASH_NONE để ký (điều đáng chú ý là SatsX, cũng là một nền tảng giao dịch Atomicals, dường như không ở trong tình huống tương tự)

Sau khi phân tích, người ta thấy rằng nguyên nhân gốc rễ của việc mua 0 nhân dân tệ là do Thị trường Nguyên tử đã sử dụng SIGHASH \ _NONE không chính xác trong PSBT (TX: 1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93)

02 Điều kiện tiên quyết

Trước khi chúng ta đi xa hơn, điều quan trọng là phải biết một vài điều vì BTC không sử dụng mô hình tài khoản như Ethereum.

UTXO

Đầu ra giao dịch chưa sử dụng Bitcoin (UTXO) đại diện cho một phần cụ thể của quyền sở hữu Bitcoin. Không giống như các hệ thống truyền thống sử dụng tài khoản và số dư, Bitcoin hoạt động thông qua các phần Bitcoin riêng biệt này. Mỗi UTXO được xác định bởi một giá trị cụ thể đại diện cho các phần khác nhau của Bitcoin được chuyển trong giao dịch.

Trong quá trình giao dịch, UTXO bị tiêu thụ và không còn tồn tại. Kết quả là, hoạt động này tạo ra một hoặc nhiều UTXO mới. Một tập hợp các UTXO này, được gọi là bộ UTXO, được duy trì và cập nhật bởi tất cả các nút mạng. Điều này xảy ra bất cứ khi nào một khối mới xử lý các giao dịch tạo và loại bỏ UTXO. Bộ UTXO đóng một vai trò quan trọng trong việc cho phép các nút xác nhận độc lập tính hợp pháp của các giao dịch và bitcoin mà chúng dự định chi tiêu.

PSBT

Giao dịch Bitcoin được ký một phần (PSBT) là một giao thức trong hệ sinh thái Bitcoin nhằm cải thiện sự tiện lợi của việc truyền các giao dịch chưa ký, cho phép nhiều người tham gia ký một giao dịch cùng một lúc.

PSBT (Giao dịch Bitcoin được ký một phần) cung cấp tiện ích trong nhiều tình huống khác nhau. Xem xét việc tạo một giao dịch CoinJoin liên quan đến ba người. Trong quá trình này, mỗi người trong số ba người tham gia gửi một tin nhắn đến điều phối viên trung tâm. Tin nhắn chứa các chi tiết của UTXO (đầu ra giao dịch chưa sử dụng) mà họ muốn đưa vào CoinJoin. Ngoài ra, mỗi người tham gia chỉ định địa chỉ mà phần Bitcoin của họ sẽ được trả lại sau khi giao dịch CoinJoin hoàn tất.

03 ** Vấn đề là gì?**

Atomicals Protocol đề cập rằng trong bước trao đổi PBST an toàn, người bán ký đầu vào thứ 2 chứa ARC20 Atomical và đầu ra thứ 2 chứa số tiền thanh toán.

Người bán cần sử dụng SIGHASH_SINGLE | KHI BẤT KỲ AICANPAY ĐƯỢC KÝ, NGƯỜI MUA CÓ THỂ THÊM ĐẦU VÀO CỦA HỌ ĐỂ NHẬN TIỀN VÀ THÊM ĐỊA CHỈ NHẬN MÀ HỌ SẼ NHẬN ĐƯỢC ĐỂ MUA TOKEN ARC20.

Sau đó, thay vì sử dụng SIGHASH_SINGLE trong hoán đổi, Atomicals Market sử dụng SIGHASH_NONE.

CHÚNG TA CÓ THỂ XEM XÉT SỰ KHÁC BIỆT GIỮA NONE VÀ SINGLE:

Vì Atomicals Market sử dụng KHÔNG, chỉ có một đầu vào được ký, có nghĩa là chỉ có số lượng mã thông báo được bán được xác minh. Trong khi đầu ra không được ký, điều đó có nghĩa là các mã thông báo nhận được không được xác minh. Do đó, người dùng độc hại có thể mua mã thông báo của người dùng mà không phải trả mã thông báo.

04 Mất tài sản

33.000 $ATOM

05 Sau đó

Atomicals Market hứa hẹn sẽ bù đắp cho người dùng những tổn thất của họ.

06 ** Khuyến nghị bảo mật**

Nhóm dự án nên có một nghiên cứu chuyên sâu về các giao thức dựa trên và sản phẩm cần được kiểm tra và kiểm toán đầy đủ, chú ý đến chính các giao thức cũng như các khuyến nghị của các cơ quan an ninh.