Análisis del evento de compra de 0 yuanes del mercado de Atomicals

Contribución de Daniel Tan y fuente: MetaTrust Labs

01 Resumen

2023-11-21 La tan comentada plataforma de negociación Atomicals Market tiene un incidente de compra de 0 yuanes, lo que ha provocado que Atomicals Protocol y su plataforma de negociación Atomicals Market caigan en una tormenta recientemente. Una serie de preguntas sobre el token ARC-20 han provocado un amplio debate y cuestionamiento.

Protocolo Atomicals y Mercado Atomicals

Atomicals Market es un mercado de ARC-20 que utiliza el protocolo de Atomicals para las transacciones de ARC-20 (Atomicals Market y Atomicals Protocls no son la misma empresa)

Atomicals Market publicó el día 21 que encontró una falla de PBST en su proceso de negociación basado en el protocolo Atomicals, lo que provocó que los usuarios experimentaran pérdidas al intercambiar el token atom.

Al mismo tiempo, Atomicals Protocol respondió a los comentarios de Atomicals Market en una publicación el día 24, señalando que la causa del problema fue la negligencia de Atomicals Market, utilizando SIGHASH_NONE para firmar transacciones, poniendo en riesgo a sus usuarios. Atomicals Protocol ha declarado y advertido que el mercado de Atomicals no debería usar SIGHASH_NONE para firmar (vale la pena señalar que SatsX, que también es una plataforma de negociación de Atomicals, no parece estar en una situación similar)

Después del análisis, se descubrió que la causa principal de la compra de 0 yuanes fue que Atomicals Market usó incorrectamente SIGHASH_NONE en PSBT (TX: 1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93)

02 Requisitos previos

Antes de continuar, es importante saber algunas cosas porque BTC no utiliza un modelo de cuenta como Ethereum.

UTXO

La salida de transacciones no gastadas de Bitcoin (UTXO) representa una parte específica de la propiedad de Bitcoin. A diferencia de los sistemas tradicionales que utilizan cuentas y saldos, Bitcoin opera a través de estas secciones separadas de Bitcoin. Cada UTXO está definido por un valor específico que representa las diferentes partes del Bitcoin que se transfieren en la transacción.

En el transcurso de una transacción, el UTXO se consume y ya no existe. Como resultado, esta operación genera uno o varios UTXO nuevos. Todos los nodos de la red mantienen y actualizan una colección de estos UTXO, conocidos como conjuntos UTXO. Esto sucede cada vez que un nuevo bloque procesa transacciones que generan y eliminan UTXO. Los conjuntos UTXO desempeñan un papel clave a la hora de permitir que los nodos confirmen de forma independiente la legitimidad de las transacciones y los bitcoins que pretenden gastar.

PSBT

Partial Signed Bitcoin Transactions (PSBT) es un protocolo en el ecosistema de Bitcoin que tiene como objetivo mejorar la conveniencia de transmitir transacciones sin firmar, lo que permite que varios participantes firmen una sola transacción al mismo tiempo.

PSBT (Transacción de Bitcoin parcialmente firmada) ofrece utilidad en una variedad de escenarios. Considere la posibilidad de crear una transacción de CoinJoin en la que participen tres personas. Durante este proceso, cada uno de los tres participantes envía un mensaje al coordinador central. El mensaje contiene los detalles del UTXO (salida de transacción no gastada) que desean incluir en CoinJoin. Además, cada participante especifica la dirección a la que se debe devolver su parte de Bitcoin después de que se complete la transacción de CoinJoin.

03 ¿Cuál es el problema?

Atomicals Protocol menciona que en un paso de intercambio PBST seguro, el vendedor firma la 2ª entrada que contiene el ARC20 Atomical y la 2ª salida que contiene el importe del pago.

Los vendedores deben usar SIGHASH_SINGLE | UNA VEZ QUE SE FIRMA ANYONECANPAY, LOS COMPRADORES PUEDEN AGREGAR SUS ENTRADAS PARA OBTENER LOS FONDOS Y AGREGAR LA DIRECCIÓN DE RECEPCIÓN QUE RECIBIRÁN PARA COMPRAR TOKENS ARC20.

Entonces, en lugar de usar SIGHASH_SINGLE en el intercambio, Atomicals Market usa SIGHASH_NONE.

PODEMOS ECHAR UN VISTAZO A LAS DIFERENCIAS ENTRE NONE Y SINGLE:

Dado que Atomicals Market usa NONE, solo se firma una entrada, lo que significa que solo se verifica la cantidad de tokens vendidos. Mientras que la salida no está firmada, significa que los tokens recibidos no se verifican. Como resultado, los usuarios malintencionados pueden comprar tokens de usuarios sin pagar tokens.

04 Pérdida de activos

33.000 $ATOM

05 Posteriormente

Atomicals Market promete compensar a los usuarios por sus pérdidas.

06 Recomendaciones de seguridad

El equipo del proyecto debe tener un estudio en profundidad de los protocolos en los que se basa, y el producto debe probarse y auditarse adecuadamente, prestando atención a los propios protocolos, así como a las recomendaciones de las agencias de seguridad.