まとめ

2023-11-21 注目の取引プラットフォーム「アトミックスマーケット」で0元購入事件が発生し、最近アトミックスプロトコルとその取引プラットフォーム「アトミックスマーケット」が窮地に陥った。 ARC-20トークンに関する一連の質問は、広範な議論と疑問を引き起こしました。

Atomicals Protocol & Atomicals Market

Atomics Market は、ARC-20 取引に Atomics Protocol を使用する ARC-20 取引市場です (Atomics Market と Atomics Protocls は同じ会社ではありません)。

アトミクス・マーケットは21日、アトミカルズ・プロトコルに基づく取引プロセスにPBSTの欠陥が発見され、アトム・トークンの取引時にユーザーが損失を被っているとの文書を発表した。

同時に、Atomics Protocolは24日、Atomics Marketの発言に反論する記事を掲載し、問題の原因はトランザクションへのサインインにSIGHASH_NONEを使用するAtomics Marketの怠慢であり、ユーザーを危険にさらしたことにあると指摘した。 Atomics Protocol は、Atomics Market が署名に SIGHASH_NONE を使用すべきではないと述べ、警告しました (Atomics 取引プラットフォームでもある SatsX には同様の状況がないようであることは注目に値します)。

分析の結果、0 元購入の根本原因は、Atomics Market が PSBT で SIGHASH_NONE (TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93) を誤って使用したことであることが判明しました。

予備知識

その理由を詳しく分析する前に、BTC はイーサリアムのようなアカウント モデルを使用していないため、いくつかの予備知識を理解する必要があります。

UTXO

ビットコインの未使用トランザクション出力 (UTXO) は、ビットコインの所有権の特定の部分を表します。アカウントと残高を利用する従来のシステムとは異なり、ビットコインはこれらの個々のビットコイン セグメントを通じて動作します。各 UTXO は特定の値によって定義され、トランザクションで転送されるビットコインの異なる部分を表します。

トランザクションの過程で、UTXO は消費され、存在しなくなります。したがって、この操作では 1 つ以上の新しい UTXO が生成されます。これらの UTXO のコレクションは UTXO セットと呼ばれ、すべてのネットワーク ノードによって維持および更新されます。これは、新しいブロックが UTXO を生成および破棄するトランザクションを処理するたびに発生します。 UTXO セットは、ノードがトランザクションの正当性と使用する予定のビットコインを独立して確認できるようにする上で重要な役割を果たします。

PSBT

部分署名ビットコイン トランザクション (PSBT) は、署名されていないトランザクションの送信を容易にするために設計されたビットコイン エコシステムのプロトコルで、複数の参加者が単一のトランザクションに同時に署名できるようにします。

PSBT (部分署名ビットコイン トランザクション) は、さまざまなシナリオでユーティリティを提供します。 3 人が参加する CoinJoin トランザクションを作成することを検討してください。このプロセス中に、3 人の参加者のそれぞれが中央コーディネーターにメッセージを送信します。メッセージには、CoinJoin に含めたい UTXO (未使用トランザクション出力) の詳細が含まれています。さらに、各参加者は、CoinJoin トランザクションの完了後にビットコインの分け前を返すべきアドレスを指定します。

どうしたの？

Atomics Protocol では、安全な PBST 交換ステップで、売り手は ARC 20 Atomic を含む 2 番目の入力に署名し、支払い金額の 2 番目の出力を受け取ると述べています。

売り手が SIGHASH_SINGLE - ANYONECANPAY で署名する必要があると、買い手は資金を受け取るための入力を追加し、ARC 20 トークンを購入するための受信アドレスを追加できます。

次に、Atomics Market はスワップに SIGHASH_SINGLE を使用せず、SIGHASH_NONE を使用します。

NONE と SINGLE の違いを見てみましょう。

Atomics Market は NONE を使用するため、署名される入力は 1 つだけです。つまり、販売されたトークンの数のみが検証されます。出力に署名できない場合は、受信したトークンが検証されていないことを意味します。その結果、悪意のあるユーザーはトークンを支払うことなく、ユーザーのトークンを 0 元で購入することができます。

資産の損失

33, 000 $ATOM

フォローアップ

Atomics Market はユーザーの損失を補償することを約束します。

セキュリティに関するアドバイス

プロジェクト関係者は、依存するプロトコルについて徹底的な調査を行う必要があり、製品は十分なテストと監査を受ける必要があり、プロトコル自体とセキュリティ機関の推奨事項に注意を払う必要があります。

メタトラスト・ラボについて

MetaTrust Labs は、シンガポールの南洋理工大学によって設立された、Web3 人工知能セキュリティ ツールとコード監査サービスの大手プロバイダーです。当社は、開発者とプロジェクト関係者が Web3 アプリケーションとスマート コントラクトを保護できるようにする高度な AI ソリューションを提供します。当社の包括的なサービスには、AI セキュリティ スキャン、コード監査、スマート コントラクト モニタリング、トランザクション モニタリングが含まれます。 AI を統合することで、安全なエコシステムを確保し、ユーザーと開発者間の信頼を強化します。

Website: https://metatrust.io/

Twitter: https://twitter.com/MetatrustLabs