Bản tóm tắt

21-11-2023 Một sự cố mua 0 nhân dân tệ đã xảy ra trên nền tảng giao dịch Atomics Market được nhiều người theo dõi, khiến Atomics Protocol và nền tảng giao dịch Atomics Market của nó gần đây gặp rắc rối. Một loạt câu hỏi về token ARC-20 đã làm dấy lên cuộc thảo luận và đặt câu hỏi rộng rãi.

Atomicals Protocol & Atomicals Market

Thị trường nguyên tử là thị trường giao dịch ARC-20 sử dụng Giao thức nguyên tử cho các giao dịch ARC-20 (Thị trường nguyên tử và Giao thức nguyên tử không phải là cùng một công ty)

Atomics Market đã ban hành một tài liệu vào ngày 21 cho biết họ đã phát hiện ra lỗ hổng PBST trong quy trình giao dịch dựa trên Giao thức Atomicals, khiến người dùng bị thua lỗ khi giao dịch token Atomics.

Đồng thời, Atomics Protocol đã đưa ra một bài báo vào ngày 24 để phản bác những nhận xét của Atomics Market và chỉ ra rằng nguyên nhân của vấn đề là do Atomics Market sơ suất trong việc sử dụng SIGHASH_NONE để đăng nhập giao dịch, khiến người dùng gặp rủi ro. Atomics Protocol đã tuyên bố và cảnh báo rằng Atomics Market không nên sử dụng SIGHASH_NONE cho chữ ký (điều đáng chú ý là SatsX, cũng là một nền tảng giao dịch Atomics, dường như không gặp phải tình huống tương tự)

Sau khi phân tích, người ta phát hiện ra rằng nguyên nhân sâu xa của giao dịch mua 0 nhân dân tệ là do Atomics Market sử dụng sai SIGHASH_NONE (TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93) trong PSBT.

Kiến thức sơ bộ

Trước khi phân tích sâu hơn về lý do, chúng ta cần hiểu một số kiến ​​thức sơ bộ, đó là do BTC không sử dụng mô hình tài khoản như Ethereum.

UTXO

Đầu ra giao dịch chưa chi tiêu Bitcoin (UTXO) đại diện cho một phần cụ thể của quyền sở hữu Bitcoin. Không giống như các hệ thống truyền thống sử dụng tài khoản và số dư, Bitcoin hoạt động thông qua các phân khúc Bitcoin riêng lẻ này. Mỗi UTXO được xác định bởi một giá trị cụ thể và đại diện cho một phần khác nhau của Bitcoin được chuyển trong giao dịch.

Trong quá trình giao dịch, UTXO bị tiêu thụ và không còn tồn tại. Do đó, thao tác này tạo ra một hoặc nhiều UTXO mới. Bộ sưu tập các UTXO này, được gọi là bộ UTXO, được duy trì và cập nhật bởi tất cả các nút mạng. Điều này xảy ra mỗi khi một khối mới xử lý các giao dịch tạo và hủy UTXO. Bộ UTXO đóng một vai trò quan trọng trong việc cho phép các nút xác nhận độc lập tính hợp pháp của các giao dịch và số Bitcoin mà họ dự định chi tiêu.

PSBT

Giao dịch Bitcoin được ký một phần (PSBT) là một giao thức trong hệ sinh thái Bitcoin được thiết kế để tăng sự dễ dàng trong việc truyền các giao dịch chưa được ký, cho phép nhiều người tham gia ký một giao dịch cùng một lúc.

PSBT (Giao dịch Bitcoin được ký một phần) cung cấp tiện ích trong nhiều tình huống khác nhau. Hãy cân nhắc việc tạo một giao dịch CoinJoin có sự tham gia của ba người. Trong quá trình này, mỗi người trong số ba người tham gia sẽ gửi một tin nhắn đến điều phối viên trung tâm. Thông báo chứa thông tin chi tiết về UTXO (Đầu ra giao dịch chưa chi tiêu) mà họ muốn đưa vào CoinJoin. Ngoài ra, mỗi người tham gia chỉ định địa chỉ mà phần Bitcoin của họ sẽ được trả lại sau khi giao dịch CoinJoin hoàn tất.

Vấn đề là gì?

Atomics Protocol đề cập rằng trong bước trao đổi PBST an toàn, người bán ký đầu vào thứ 2 chứa ARC 20 Atomic và nhận đầu ra thứ 2 về số tiền thanh toán.

Sau khi người bán cần ký bằng SIGHASH_SINGLE - ANYONECANPAY, người mua có thể thêm thông tin đầu vào của mình để nhận tiền và thêm địa chỉ nhận để mua mã thông báo ARC 20 của họ.

Sau đó, Atomics Market không sử dụng SIGHASH_SINGLE trong trao đổi mà sử dụng SIGHASH_NONE.

Chúng ta có thể nhìn vào sự khác biệt giữa NONE và SINGLE:

Vì Atomics Market sử dụng NONE nên chỉ có một đầu vào được ký, có nghĩa là chỉ số lượng token đã bán mới được xác minh. Việc không ký đầu ra có nghĩa là mã thông báo nhận được chưa được xác minh. Do đó, người dùng độc hại có thể mua mã thông báo của người dùng với giá 0 nhân dân tệ mà không phải trả mã thông báo.

mất mát tài sản

33, 000 $ATOM

Theo sát

Atomics Market hứa hẹn sẽ bồi thường cho người dùng những tổn thất của họ.

Lời khuyên bảo mật

Các bên tham gia dự án nên tiến hành nghiên cứu chuyên sâu về các giao thức mà họ dựa vào, các sản phẩm cần phải trải qua quá trình kiểm tra và kiểm tra đầy đủ, đồng thời chú ý đến bản thân các giao thức cũng như khuyến nghị của các cơ quan an ninh.

Giới thiệu về Phòng thí nghiệm MetaTrust

MetaTrust Labs là nhà cung cấp hàng đầu các công cụ bảo mật trí tuệ nhân tạo Web3 và dịch vụ kiểm tra mã do Đại học Công nghệ Nanyang ở Singapore ươm tạo. Chúng tôi cung cấp các giải pháp AI tiên tiến giúp trao quyền cho các nhà phát triển và các bên liên quan của dự án để bảo mật các ứng dụng Web3 và hợp đồng thông minh. Các dịch vụ toàn diện của chúng tôi bao gồm quét bảo mật AI, kiểm tra mã, giám sát hợp đồng thông minh và giám sát giao dịch. Bằng cách tích hợp AI, chúng tôi đảm bảo một hệ sinh thái an toàn và nâng cao niềm tin giữa người dùng và nhà phát triển.

Website: https://metatrust.io/

Twitter: https://twitter.com/MetatrustLabs