作者：Daniel Tan | 来源：MetaTrust Labs | 2023-11-21

事件始末：一场本该避免的纠纷

最近加密货币圈子里闹得沸沸扬扬的Atomicals Market事件，让我不禁想起那句老话："魔鬼藏在细节里"。这个本该是普通的技术问题，却因为两家机构的互相甩锅，变成了价值33,000美元的惨痛教训。

当事双方各执一词

11月21日，Atomicals Market突然发布声明，称他们在使用Atomicals Protocol进行ARC-20代币交易时发现了PBST缺陷。但戏剧性的是，三天后Atomicals Protocol就强烈回击，直指问题是Atomicals Market自己马虎大意——他们居然在交易中使用了存在严重安全隐患的SIGHASH_NONE签名方式。

说实话，作为一个在区块链安全领域摸爬滚打多年的从业者，看到这样的低级失误真是让人哭笑不得。更讽刺的是，同样使用Atomicals Protocol的SatsX平台就完美避开了这个坑，这其中的差别值得深思。

技术剖析：为什么会出现"0元购"？

让我们深入这个价值33,000美元的技术漏洞。问题的根源在于Atomicals Market在PSBT（部分签名的比特币交易）中错误使用了SIGHASH_NONE签名方式，具体交易可以追溯至TX:1623bf2997cde779dd9e0e2c54b5f7f196f36826dcb689e41acd7fff27ec5c93。

比特币UTXO模型科普

要理解这个漏洞，我们得从比特币的基础说起。比特币采用的是UTXO（未花费交易输出）模型，这与我们熟悉的银行账户模型完全不同。想象一下，比特币世界里的每一笔钱都是"活期支票"，只有当你兑现（花费）它时，它才会变成新的支票（UTXO）。

PSBT的工作原理

PSBT就像是一张需要多人会签的支票。在正常的Atomicals Protocol交易流程中，卖方应该使用SIGHASH_SINGLE|ANYONECANPAY的签名方式，这样既能保护自己的代币安全，又能确保收到应得的款项。

致命的选择：SIGHASH_NONE

但Atomicals Market却选择了SIGHASH_NONE——这就像给支票签名时，只确认了要支付多少钱，却没写明收款人是谁。结果可想而知：一些"聪明人"发现可以随意篡改收款地址，最终导致了这起"0元购"闹剧。

经验教训：安全不是儿戏

这个案例给我们上了生动的一课：

1. 协议选择不能马虎：Atomicals Market明明收到了Protocol方的警告，却依然我行我素

2. 测试审计必不可少：这么明显的安全隐患，如果有完善的测试流程本可以避免

3. 专业建议要重视：安全机构的建议往往是用血的教训换来的

好在Atomicals Market承诺赔偿用户损失，至少这是个负责任的表态。但这场风波给整个行业敲响了警钟——在区块链这个高风险的领域，任何技术细节都容不得半点马虎。