สรุป

2023-11-21 เหตุการณ์การซื้อ 0 หยวนเกิดขึ้นบนแพลตฟอร์มการซื้อขาย Atomics Market ที่มีการจับตามองอย่างมาก ซึ่งทำให้ Atomics Protocol และแพลตฟอร์มการซื้อขาย Atomics Market ประสบปัญหาเมื่อเร็ว ๆ นี้ คำถามมากมายเกี่ยวกับโทเค็น ARC-20 ได้จุดประกายให้เกิดการอภิปรายและตั้งคำถามอย่างกว้างขวาง

Atomicals Protocol & Atomicals Market

Atomics Market เป็นตลาดซื้อขาย ARC-20 ที่ใช้ Atomics Protocol สำหรับธุรกรรม ARC-20 (Atomics Market และ Atomics Protocls ไม่ใช่บริษัทเดียวกัน)

Atomics Market ได้ออกเอกสารเมื่อวันที่ 21 โดยระบุว่าได้ค้นพบข้อบกพร่อง PBST ในกระบวนการซื้อขายตาม Atomicals Protocol ทำให้ผู้ใช้ประสบความสูญเสียเมื่อซื้อขายโทเค็น Atomics

ในเวลาเดียวกัน Atomics Protocol ได้ออกบทความเมื่อวันที่ 24 เพื่อตอบโต้คำพูดของ Atomics Market และชี้ให้เห็นว่าสาเหตุของปัญหาคือความประมาทเลินเล่อของ Atomics Market ในการใช้ SIGHASH_NONE เพื่อลงชื่อเข้าใช้ธุรกรรม ส่งผลให้ผู้ใช้ตกอยู่ในความเสี่ยง Atomics Protocol ระบุและเตือนว่า Atomics Market ไม่ควรใช้ SIGHASH_NONE สำหรับลายเซ็น (เป็นที่น่าสังเกตว่า SatsX ซึ่งเป็นแพลตฟอร์มการซื้อขายของ Atomics ดูเหมือนจะไม่มีสถานการณ์ที่คล้ายกัน)

หลังจากการวิเคราะห์ พบว่าสาเหตุหลักของการซื้อ 0 หยวนคือ Atomics Market ใช้ SIGHASH_NONE (TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7ffff27ec5c93) ใน PSBT อย่างไม่ถูกต้อง

ความรู้เบื้องต้น

ก่อนที่เราจะวิเคราะห์เหตุผลเพิ่มเติมเราต้องเข้าใจความรู้เบื้องต้นก่อน เนื่องจาก BTC ไม่ได้ใช้รูปแบบบัญชีเช่น Ethereum

UTXO

Bitcoin Unspent Transaction Outputs (UTXOs) แสดงถึงส่วนเฉพาะของการเป็นเจ้าของ Bitcoin แตกต่างจากระบบแบบดั้งเดิมที่ใช้บัญชีและยอดคงเหลือ Bitcoin ดำเนินการผ่านส่วน Bitcoin เหล่านี้ แต่ละ UTXO ถูกกำหนดโดยมูลค่าเฉพาะและแสดงถึงส่วนต่าง ๆ ของ Bitcoin ที่ถ่ายโอนในธุรกรรม

ในระหว่างการทำธุรกรรม UTXO จะถูกใช้งานและไม่มีอยู่อีกต่อไป ดังนั้น การดำเนินการนี้จะสร้าง UTXO ใหม่อย่างน้อยหนึ่งรายการ คอลเลกชันของ UTXO เหล่านี้เรียกว่าชุด UTXO ได้รับการดูแลและอัปเดตโดยโหนดเครือข่ายทั้งหมด สิ่งนี้จะเกิดขึ้นทุกครั้งที่บล็อกใหม่จัดการธุรกรรมที่สร้างและทำลาย UTXO ชุด UTXO มีบทบาทสำคัญในการทำให้โหนดสามารถยืนยันความถูกต้องของธุรกรรมและ Bitcoin ที่พวกเขาตั้งใจจะใช้ได้อย่างอิสระ

PSBT

ธุรกรรม Bitcoin ที่ลงนามบางส่วน (PSBT) เป็นโปรโตคอลในระบบนิเวศ Bitcoin ที่ออกแบบมาเพื่อเพิ่มความสะดวกในการส่งธุรกรรมที่ไม่ได้ลงนาม ทำให้ผู้เข้าร่วมหลายคนสามารถลงนามในธุรกรรมเดียวพร้อมกัน

PSBT (ธุรกรรม Bitcoin ที่ลงนามบางส่วน) มอบประโยชน์ใช้สอยในสถานการณ์ที่หลากหลาย พิจารณาสร้างธุรกรรม CoinJoin ที่เกี่ยวข้องกับคนสามคน ในระหว่างกระบวนการนี้ ผู้เข้าร่วมทั้งสามคนจะส่งข้อความไปยังผู้ประสานงานกลาง ข้อความประกอบด้วยรายละเอียดของ UTXO (Unspent Transaction Output) ที่พวกเขาต้องการรวมไว้ใน CoinJoin นอกจากนี้ ผู้เข้าร่วมแต่ละคนจะระบุที่อยู่ที่ควรส่งคืนส่วนแบ่ง Bitcoin หลังจากธุรกรรม CoinJoin เสร็จสิ้น

มีปัญหาอะไร?

Atomics Protocol ระบุว่าในขั้นตอนการแลกเปลี่ยน PBST ที่ปลอดภัย ผู้ขายลงนามในอินพุตที่ 2 ที่มี ARC 20 Atomic และรับเอาต์พุตที่ 2 ของจำนวนเงินที่ชำระ

เมื่อผู้ขายจำเป็นต้องลงนามกับ SIGHASH_SINGLE - ANYONECANPAY ผู้ซื้อสามารถเพิ่มข้อมูลเพื่อรับเงิน และเพิ่มที่อยู่สำหรับรับสำหรับการซื้อโทเค็น ARC 20

จากนั้น Atomics Market จะไม่ใช้ SIGHASH_SINGLE ในการแลกเปลี่ยน แต่เป็น SIGHASH_NONE

เราสามารถดูความแตกต่างระหว่าง NONE และ SINGLE ได้:

เนื่องจาก Atomics Market ใช้ NONE จึงมีเพียงอินพุตเดียวเท่านั้นที่ได้รับการลงนาม ซึ่งหมายความว่ามีเพียงจำนวนโทเค็นที่ขายเท่านั้นที่ได้รับการตรวจสอบ การไม่ลงนามในเอาต์พุตหมายความว่าโทเค็นที่ได้รับไม่ได้รับการยืนยัน เป็นผลให้ผู้ใช้ที่เป็นอันตรายสามารถซื้อโทเค็นของผู้ใช้ได้ในราคา 0 หยวนโดยไม่ต้องจ่ายโทเค็น

การสูญเสียทรัพย์สิน

33, 000 $ATOM

ติดตาม

Atomics Market สัญญาว่าจะชดเชยผู้ใช้สำหรับการสูญเสียของพวกเขา

คำแนะนำด้านความปลอดภัย

ฝ่ายโครงการควรทำการวิจัยเชิงลึกเกี่ยวกับโปรโตคอลที่พวกเขาใช้ ผลิตภัณฑ์จำเป็นต้องผ่านการทดสอบและตรวจสอบอย่างเพียงพอ และให้ความสนใจกับโปรโตคอลเองและคำแนะนำของหน่วยงานด้านความปลอดภัย

เกี่ยวกับ MetaTrust Labs

MetaTrust Labs คือผู้ให้บริการชั้นนำด้านเครื่องมือรักษาความปลอดภัยปัญญาประดิษฐ์ Web3 และบริการตรวจสอบโค้ดที่บ่มเพาะโดยมหาวิทยาลัยเทคโนโลยีนันยางในสิงคโปร์ เรานำเสนอโซลูชัน AI ขั้นสูงที่ช่วยให้นักพัฒนาและผู้มีส่วนได้ส่วนเสียของโครงการสามารถรักษาความปลอดภัยแอปพลิเคชัน Web3 และสัญญาอัจฉริยะได้ บริการที่ครอบคลุมของเราประกอบด้วยการสแกนความปลอดภัยของ AI การตรวจสอบรหัส การตรวจสอบสัญญาอัจฉริยะ และการตรวจสอบธุรกรรม ด้วยการบูรณาการ AI เรารับประกันระบบนิเวศที่ปลอดภัยและเพิ่มความไว้วางใจระหว่างผู้ใช้และนักพัฒนา

Website: https://metatrust.io/

Twitter: https://twitter.com/MetatrustLabs