Análise do evento de compra de 0 yuan do Mercado Atomicals

Contribuição de Daniel Tan e Fonte: MetaTrust Labs

01 Resumo

2023-11-21 A tão falada plataforma de negociação Atomicals Market tem um incidente de compra de 0 yuan, o que fez com que o Atomicals Protocol e sua plataforma de negociação Atomicals Market caíssem em uma tempestade recentemente. Uma série de perguntas sobre o token ARC-20 provocou ampla discussão e questionamento.

Protocolo Atómico &Mercado Atómico

Atomicals Market é um mercado ARC-20 que usa o Protocolo Atomicals para transações ARC-20 (Atomicals Market e Atomicals Protocls não são a mesma empresa)

A Atomicals Market postou no dia 21 que encontrou uma falha PBST em seu processo de negociação baseado no Protocolo Atomicals, resultando em usuários experimentando perdas ao negociar o token atom.

Ao mesmo tempo, a Atomicals Protocol rebateu as observações da Atomicals Market em um post no dia 24, apontando que a causa do problema foi a negligência da Atomicals Market, usando SIGHASH_NONE para assinar transações, colocando seus usuários em risco. Atomicals Protocol afirmou e alertou que o Mercado Atomicals não deve usar SIGHASH_NONE para assinatura (vale a pena notar que SatsX, que também é uma plataforma de negociação Atomicals, não parece estar em uma situação semelhante)

Após análise, verificou-se que a causa raiz da compra de 0 yuan foi que o Mercado Atomicals usou incorretamente SIGHASH_NONE em PSBT (TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93)

02 Pré-requisitos

Antes de prosseguirmos, é importante saber algumas coisas porque o BTC não usa um modelo de conta como o Ethereum.

UTXO

Bitcoin Unspent Transaction Output (UTXO) representa uma parte específica da propriedade do Bitcoin. Ao contrário dos sistemas tradicionais que utilizam contas e saldos, o Bitcoin opera através dessas seções separadas do Bitcoin. Cada UTXO é definido por um valor específico que representa as diferentes partes do Bitcoin que são transferidas na transação.

Ao longo de uma transação, o UTXO é consumido e não existe mais. Como resultado, esta operação gera uma ou mais novas UTXOs. Uma coleção desses UTXOs, conhecidos como conjuntos UTXO, é mantida e atualizada por todos os nós de rede. Isso acontece sempre que um novo bloco processa transações que geram e eliminam UTXOs. Os conjuntos UTXO desempenham um papel fundamental ao permitir que os nós confirmem de forma independente a legitimidade das transações e os bitcoins que pretendem gastar.

PSBT

Transações Bitcoin Parcialmente Assinadas (PSBT) é um protocolo no ecossistema Bitcoin que visa melhorar a conveniência de transmitir transações não assinadas, permitindo que vários participantes assinem uma única transação ao mesmo tempo.

PSBT (Parcialmente Assinado Bitcoin Transaction) oferece utilidade em uma variedade de cenários. Considere criar uma transação CoinJoin envolvendo três pessoas. Durante este processo, cada um dos três participantes envia uma mensagem ao coordenador central. A mensagem contém os detalhes da UTXO (saída de transação não gasta) que eles desejam incluir no CoinJoin. Além disso, cada participante especifica o endereço para o qual sua parte de Bitcoin deve ser devolvida após a transação CoinJoin ser concluída.

03 Qual é o problema?

O Protocolo Atomicals menciona que, em uma etapa segura de troca de PBST, o vendedor assina a 2ª entrada contendo o ARC20 Atomical e a 2ª saída contendo o valor do pagamento.

Os vendedores precisam usar SIGHASH_SINGLE | UMA VEZ QUE ANYONECANPAY É ASSINADO, OS COMPRADORES PODEM ADICIONAR SUAS ENTRADAS PARA OBTER OS FUNDOS E ADICIONAR O ENDEREÇO DE RECEBIMENTO QUE RECEBERÃO PARA COMPRAR TOKENS ARC20.

Então, em vez de usar SIGHASH_SINGLE no swap, o Atomicals Market usa SIGHASH_NONE.

PODEMOS DAR UMA OLHADA NAS DIFERENÇAS ENTRE NENHUM E ÚNICO:

Como o Atomicals Market usa NONE, apenas uma entrada é assinada, o que significa que apenas o número de tokens vendidos é verificado. Considerando que a saída não está assinada, isso significa que os tokens recebidos não são verificados. Como resultado, os usuários mal-intencionados podem comprar tokens dos usuários sem pagar tokens.

04 Perda de Ativos

33.000 $ATOM

05 Posteriormente

Atomicals Market promete compensar os usuários por suas perdas.

06 Recomendações de Segurança

A equipe do projeto deve ter um estudo aprofundado dos protocolos em que se baseia, e o produto precisa ser adequadamente testado e auditado, prestando atenção aos próprios protocolos, bem como às recomendações das agências de segurança.