摘要

2023-11-21 備受關注的Atomicals Market 交易平台發生了0 元購事件，讓Atomicals Protocol 及其交易平台Atomicals Market 近日陷入風波。關於ARC-20 代幣的一系列問題引發了廣泛的討論和質疑。

Atomicals Protocol & Atomicals Market

Atomicals Market 是ARC-20 的交易市場，使用了Atomicals Protocol 進行ARC-20 的交易(Atomicals Market 和Atomicals Protocls 不是同一個公司)

Atomicals Market 在21 號發文指出在其基於Atomicals Protocol 的交易過程中發現了PBST 缺陷，導致用戶在交易atom 代幣時遭遇損失。

同時，Atomicals Protocol 在24 號發文反擊了Atomicals Market 的言論並指出問題的原因在於Atomicals Market 的疏忽，在交易中使用SIGHASH_NONE 進行簽名，將其用戶置於危險之中。 Atomicals Protocol 表示並曾警告Atomicals Market 不應該使用SIGHASH_NONE 進行簽名（值得注意的是，同樣是Atomicals 交易平台的SatsX 似乎沒有出現類似情況）

分析後發現，導致0 元購的根本原因在於Atomicals Market 在PSBT 中錯誤的使用了SIGHASH_NONE (TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd79f27553535)

預備知識

在我們進一步分析事情原因之前，需要先了解一些預備知識，這是因為BTC 並沒有使用像Ethereum 那樣的帳戶模型。

UTXO

比特幣未花費交易輸出（UTXO）代表比特幣所有權的特定部分。與利用帳戶和余額的傳統系統不同，比特幣透過這些單獨的比特幣部分進行操作。每個UTXO 都由一個特定值定義，代表在交易中傳輸的比特幣的不同部分。

在交易的過程中，UTXO 會被消耗並不再存在。因此，這項操作會產生一個或多個新的UTXO。這些UTXO 的集合，稱為UTXO 集，由所有網路節點維護和更新。每當一個新的區塊處理產生和消除UTXO 的交易時，就會發生這種情況。 UTXO 集在使節點能夠獨立確認交易及其打算花費的比特幣的合法性方面發揮關鍵作用。

PSBT

部分簽署的比特幣交易（PSBT）是比特幣生態系統中的協議，旨在提高傳輸未簽名交易的便利性，使多個參與者能夠同時簽署單一交易。

PSBT（部分簽名的比特幣交易）在多種場景中提供實用性。考慮創建涉及三個人的CoinJoin 交易。在此過程中，三個參與者中的每一個都會向中央協調器發送一條訊息。該訊息包含他們希望包含在CoinJoin 中的UTXO（未花費的交易輸出）的詳細資訊。此外，每位參與者都指定在CoinJoin 交易完成後應將其份額的比特幣返回到的地址。

問題出在哪？

Atomicals Protocol 提到，在一個安全的PBST 交換步驟中，賣方簽署包含ARC 20 Atomical 的第2 筆輸入和接收付款金額的第2 筆輸出。

賣方需使用SIGHASH_SINGLE - ANYONECANPAY 簽名後，買方就可以添加他們的輸入以獲得資金，並添加他們購買ARC 20 代幣的接收地址。

然後，Atomicals Market 在swap 中使用的並不是SIGHASH_SINGLE，而是SIGHASH_NONE。

我們可以看一下NONE 和SINGLE 的差別：

由於，Atomicals Market 使用的是NONE，僅僅對一個input 進行了簽名，這意味著只對賣出的代幣數量進行了驗證。而沒有對output 進行簽名，意味著沒有對接收的代幣進行驗證。最終導致，惡意用戶無需支付代幣即可以0 元購買的方式買走用戶的代幣。

資產損失

33, 000 $ATOM

後續

Atomicals Market 承諾賠償用戶損失.

安全建議

專案方對依賴的協議應該有深入的研究，產品需要經過足夠的測試和審計，重視所使用協議本身以及安全機構的建議。

關於MetaTrust Labs

MetaTrust Labs 是新加坡南洋理工大學孵化的領先Web3人工智慧安全工具和程式碼審計服務供應商。我們提供先進的AI 解決方案，賦予開發者和專案相關者保護Web3應用程式和智慧合約的能力。我們的綜合服務包括AI 安全掃描、代碼稽核、智慧合約監控和交易監控。通過整合AI，我們確保建立一個安全的生態系統，增強使用者和開發者之間的信任。

Website: https://metatrust.io/

Twitter: https://twitter.com/MetatrustLabs