LCOV - code coverage report
Current view: top level - src/script - interpreter.cpp (source / functions) Coverage Total Hit
Test: total_coverage.info Lines: 98.1 % 1080 1059
Test Date: 2024-11-04 05:10:19 Functions: 100.0 % 63 63
Branches: 76.5 % 1654 1265

             Branch data     Line data    Source code
       1                 :             : // Copyright (c) 2009-2010 Satoshi Nakamoto
       2                 :             : // Copyright (c) 2009-2022 The Bitcoin Core developers
       3                 :             : // Distributed under the MIT software license, see the accompanying
       4                 :             : // file COPYING or http://www.opensource.org/licenses/mit-license.php.
       5                 :             : 
       6                 :             : #include <script/interpreter.h>
       7                 :             : 
       8                 :             : #include <crypto/ripemd160.h>
       9                 :             : #include <crypto/sha1.h>
      10                 :             : #include <crypto/sha256.h>
      11                 :             : #include <pubkey.h>
      12                 :             : #include <script/script.h>
      13                 :             : #include <uint256.h>
      14                 :             : 
      15                 :             : typedef std::vector<unsigned char> valtype;
      16                 :             : 
      17                 :             : namespace {
      18                 :             : 
      19                 :     1394835 : inline bool set_success(ScriptError* ret)
      20                 :             : {
      21                 :     1394835 :     if (ret)
      22                 :     1136394 :         *ret = SCRIPT_ERR_OK;
      23                 :             :     return true;
      24                 :             : }
      25                 :             : 
      26                 :     1979148 : inline bool set_error(ScriptError* ret, const ScriptError serror)
      27                 :             : {
      28   [ -  -  -  -  :        1107 :     if (ret)
          -  -  -  +  +  
          -  +  -  +  -  
                   +  - ]
      29                 :     1503491 :         *ret = serror;
      30                 :     1759854 :     return false;
      31                 :             : }
      32                 :             : 
      33                 :             : } // namespace
      34                 :             : 
      35                 :      531572 : bool CastToBool(const valtype& vch)
      36                 :             : {
      37         [ +  + ]:      533951 :     for (unsigned int i = 0; i < vch.size(); i++)
      38                 :             :     {
      39         [ +  + ]:      528946 :         if (vch[i] != 0)
      40                 :             :         {
      41                 :             :             // Can be negative zero
      42   [ +  +  +  + ]:      526567 :             if (i == vch.size()-1 && vch[i] == 0x80)
      43                 :             :                 return false;
      44                 :      526550 :             return true;
      45                 :             :         }
      46                 :             :     }
      47                 :             :     return false;
      48                 :             : }
      49                 :             : 
      50                 :             : /**
      51                 :             :  * Script is a stack machine (like Forth) that evaluates a predicate
      52                 :             :  * returning a bool indicating valid or not.  There are no loops.
      53                 :             :  */
      54                 :             : #define stacktop(i) (stack.at(size_t(int64_t(stack.size()) + int64_t{i})))
      55                 :             : #define altstacktop(i) (altstack.at(size_t(int64_t(altstack.size()) + int64_t{i})))
      56                 :     5535570 : static inline void popstack(std::vector<valtype>& stack)
      57                 :             : {
      58         [ -  + ]:     5535570 :     if (stack.empty())
      59         [ #  # ]:           0 :         throw std::runtime_error("popstack(): stack empty");
      60                 :     5535570 :     stack.pop_back();
      61                 :     5535570 : }
      62                 :             : 
      63                 :       52937 : bool static IsCompressedOrUncompressedPubKey(const valtype &vchPubKey) {
      64         [ +  + ]:       52937 :     if (vchPubKey.size() < CPubKey::COMPRESSED_SIZE) {
      65                 :             :         //  Non-canonical public key: too short
      66                 :             :         return false;
      67                 :             :     }
      68         [ +  + ]:       52920 :     if (vchPubKey[0] == 0x04) {
      69         [ -  + ]:         522 :         if (vchPubKey.size() != CPubKey::SIZE) {
      70                 :             :             //  Non-canonical public key: invalid length for uncompressed key
      71                 :           0 :             return false;
      72                 :             :         }
      73   [ +  +  +  + ]:       52398 :     } else if (vchPubKey[0] == 0x02 || vchPubKey[0] == 0x03) {
      74         [ -  + ]:       52320 :         if (vchPubKey.size() != CPubKey::COMPRESSED_SIZE) {
      75                 :             :             //  Non-canonical public key: invalid length for compressed key
      76                 :           0 :             return false;
      77                 :             :         }
      78                 :             :     } else {
      79                 :             :         //  Non-canonical public key: neither compressed nor uncompressed
      80                 :             :         return false;
      81                 :             :     }
      82                 :             :     return true;
      83                 :             : }
      84                 :             : 
      85                 :       31752 : bool static IsCompressedPubKey(const valtype &vchPubKey) {
      86         [ +  + ]:       31752 :     if (vchPubKey.size() != CPubKey::COMPRESSED_SIZE) {
      87                 :             :         //  Non-canonical public key: invalid length for compressed key
      88                 :             :         return false;
      89                 :             :     }
      90   [ +  +  -  + ]:       31270 :     if (vchPubKey[0] != 0x02 && vchPubKey[0] != 0x03) {
      91                 :             :         //  Non-canonical public key: invalid prefix for compressed key
      92                 :           0 :         return false;
      93                 :             :     }
      94                 :             :     return true;
      95                 :             : }
      96                 :             : 
      97                 :             : /**
      98                 :             :  * A canonical signature exists of: <30> <total len> <02> <len R> <R> <02> <len S> <S> <hashtype>
      99                 :             :  * Where R and S are not negative (their first byte has its highest bit not set), and not
     100                 :             :  * excessively padded (do not start with a 0 byte, unless an otherwise negative number follows,
     101                 :             :  * in which case a single 0 byte is necessary and even required).
     102                 :             :  *
     103                 :             :  * See https://bitcointalk.org/index.php?topic=8392.msg127623#msg127623
     104                 :             :  *
     105                 :             :  * This function is consensus-critical since BIP66.
     106                 :             :  */
     107                 :      194577 : bool static IsValidSignatureEncoding(const std::vector<unsigned char> &sig) {
     108                 :             :     // Format: 0x30 [total-length] 0x02 [R-length] [R] 0x02 [S-length] [S] [sighash]
     109                 :             :     // * total-length: 1-byte length descriptor of everything that follows,
     110                 :             :     //   excluding the sighash byte.
     111                 :             :     // * R-length: 1-byte length descriptor of the R value that follows.
     112                 :             :     // * R: arbitrary-length big-endian encoded R value. It must use the shortest
     113                 :             :     //   possible encoding for a positive integer (which means no null bytes at
     114                 :             :     //   the start, except a single one when the next byte has its highest bit set).
     115                 :             :     // * S-length: 1-byte length descriptor of the S value that follows.
     116                 :             :     // * S: arbitrary-length big-endian encoded S value. The same rules apply.
     117                 :             :     // * sighash: 1-byte value indicating what data is hashed (not part of the DER
     118                 :             :     //   signature)
     119                 :             : 
     120                 :             :     // Minimum and maximum size constraints.
     121         [ +  + ]:      194577 :     if (sig.size() < 9) return false;
     122         [ +  + ]:      194515 :     if (sig.size() > 73) return false;
     123                 :             : 
     124                 :             :     // A signature is of type 0x30 (compound).
     125         [ +  + ]:      194496 :     if (sig[0] != 0x30) return false;
     126                 :             : 
     127                 :             :     // Make sure the length covers the entire signature.
     128         [ +  + ]:      192996 :     if (sig[1] != sig.size() - 3) return false;
     129                 :             : 
     130                 :             :     // Extract the length of the R element.
     131                 :      179099 :     unsigned int lenR = sig[3];
     132                 :             : 
     133                 :             :     // Make sure the length of the S element is still inside the signature.
     134         [ +  + ]:      179099 :     if (5 + lenR >= sig.size()) return false;
     135                 :             : 
     136                 :             :     // Extract the length of the S element.
     137         [ +  + ]:      179093 :     unsigned int lenS = sig[5 + lenR];
     138                 :             : 
     139                 :             :     // Verify that the length of the signature matches the sum of the length
     140                 :             :     // of the elements.
     141         [ +  + ]:      179093 :     if ((size_t)(lenR + lenS + 7) != sig.size()) return false;
     142                 :             : 
     143                 :             :     // Check whether the R element is an integer.
     144         [ +  + ]:      179083 :     if (sig[2] != 0x02) return false;
     145                 :             : 
     146                 :             :     // Zero-length integers are not allowed for R.
     147         [ +  + ]:      179073 :     if (lenR == 0) return false;
     148                 :             : 
     149                 :             :     // Negative numbers are not allowed for R.
     150         [ +  + ]:      179064 :     if (sig[4] & 0x80) return false;
     151                 :             : 
     152                 :             :     // Null bytes at the start of R are not allowed, unless R would
     153                 :             :     // otherwise be interpreted as a negative number.
     154   [ +  +  +  +  :      178887 :     if (lenR > 1 && (sig[4] == 0x00) && !(sig[5] & 0x80)) return false;
                   +  + ]
     155                 :             : 
     156                 :             :     // Check whether the S element is an integer.
     157         [ +  + ]:      178824 :     if (sig[lenR + 4] != 0x02) return false;
     158                 :             : 
     159                 :             :     // Zero-length integers are not allowed for S.
     160         [ +  + ]:      178814 :     if (lenS == 0) return false;
     161                 :             : 
     162                 :             :     // Negative numbers are not allowed for S.
     163         [ +  + ]:      178804 :     if (sig[lenR + 6] & 0x80) return false;
     164                 :             : 
     165                 :             :     // Null bytes at the start of S are not allowed, unless S would otherwise be
     166                 :             :     // interpreted as a negative number.
     167   [ +  +  +  +  :      178716 :     if (lenS > 1 && (sig[lenR + 6] == 0x00) && !(sig[lenR + 7] & 0x80)) return false;
                   +  + ]
     168                 :             : 
     169                 :             :     return true;
     170                 :             : }
     171                 :             : 
     172                 :       51667 : bool static IsLowDERSignature(const valtype &vchSig, ScriptError* serror) {
     173         [ -  + ]:       51667 :     if (!IsValidSignatureEncoding(vchSig)) {
     174         [ -  - ]:       51667 :         return set_error(serror, SCRIPT_ERR_SIG_DER);
     175                 :             :     }
     176                 :             :     // https://bitcoin.stackexchange.com/a/12556:
     177                 :             :     //     Also note that inside transaction signatures, an extra hashtype byte
     178                 :             :     //     follows the actual signature data.
     179                 :       51667 :     std::vector<unsigned char> vchSigCopy(vchSig.begin(), vchSig.begin() + vchSig.size() - 1);
     180                 :             :     // If the S value is above the order of the curve divided by two, its
     181                 :             :     // complement modulo the order could have been used instead, which is
     182                 :             :     // one byte shorter when encoded correctly.
     183   [ +  -  +  + ]:       51667 :     if (!CPubKey::CheckLowS(vchSigCopy)) {
     184         [ +  - ]:       51789 :         return set_error(serror, SCRIPT_ERR_SIG_HIGH_S);
     185                 :             :     }
     186                 :             :     return true;
     187                 :       51667 : }
     188                 :             : 
     189                 :       53472 : bool static IsDefinedHashtypeSignature(const valtype &vchSig) {
     190         [ +  - ]:       53472 :     if (vchSig.size() == 0) {
     191                 :             :         return false;
     192                 :             :     }
     193         [ +  + ]:       53472 :     unsigned char nHashType = vchSig[vchSig.size() - 1] & (~(SIGHASH_ANYONECANPAY));
     194         [ +  + ]:       53472 :     if (nHashType < SIGHASH_ALL || nHashType > SIGHASH_SINGLE)
     195                 :          83 :         return false;
     196                 :             : 
     197                 :             :     return true;
     198                 :             : }
     199                 :             : 
     200                 :      160746 : bool CheckSignatureEncoding(const std::vector<unsigned char> &vchSig, unsigned int flags, ScriptError* serror) {
     201                 :             :     // Empty signature. Not strictly DER encoded, but allowed to provide a
     202                 :             :     // compact way to provide an invalid signature for use with CHECK(MULTI)SIG
     203         [ +  + ]:      160746 :     if (vchSig.size() == 0) {
     204                 :             :         return true;
     205                 :             :     }
     206   [ +  +  +  + ]:      159699 :     if ((flags & (SCRIPT_VERIFY_DERSIG | SCRIPT_VERIFY_LOW_S | SCRIPT_VERIFY_STRICTENC)) != 0 && !IsValidSignatureEncoding(vchSig)) {
     207         [ +  + ]:       15878 :         return set_error(serror, SCRIPT_ERR_SIG_DER);
     208   [ +  +  +  + ]:      143821 :     } else if ((flags & SCRIPT_VERIFY_LOW_S) != 0 && !IsLowDERSignature(vchSig, serror)) {
     209                 :             :         // serror is set
     210                 :             :         return false;
     211   [ +  +  +  + ]:      143699 :     } else if ((flags & SCRIPT_VERIFY_STRICTENC) != 0 && !IsDefinedHashtypeSignature(vchSig)) {
     212         [ +  + ]:          83 :         return set_error(serror, SCRIPT_ERR_SIG_HASHTYPE);
     213                 :             :     }
     214                 :             :     return true;
     215                 :             : }
     216                 :             : 
     217                 :      143591 : bool static CheckPubKeyEncoding(const valtype &vchPubKey, unsigned int flags, const SigVersion &sigversion, ScriptError* serror) {
     218   [ +  +  +  + ]:      143591 :     if ((flags & SCRIPT_VERIFY_STRICTENC) != 0 && !IsCompressedOrUncompressedPubKey(vchPubKey)) {
     219         [ +  - ]:          95 :         return set_error(serror, SCRIPT_ERR_PUBKEYTYPE);
     220                 :             :     }
     221                 :             :     // Only compressed keys are accepted in segwit
     222   [ +  +  +  +  :      143496 :     if ((flags & SCRIPT_VERIFY_WITNESS_PUBKEYTYPE) != 0 && sigversion == SigVersion::WITNESS_V0 && !IsCompressedPubKey(vchPubKey)) {
                   +  + ]
     223         [ +  - ]:         482 :         return set_error(serror, SCRIPT_ERR_WITNESS_PUBKEYTYPE);
     224                 :             :     }
     225                 :             :     return true;
     226                 :             : }
     227                 :             : 
     228                 :      152548 : int FindAndDelete(CScript& script, const CScript& b)
     229                 :             : {
     230                 :      152548 :     int nFound = 0;
     231   [ +  +  +  + ]:      252096 :     if (b.empty())
     232                 :             :         return nFound;
     233                 :      152547 :     CScript result;
     234   [ +  +  +  + ]:      457641 :     CScript::const_iterator pc = script.begin(), pc2 = script.begin(), end = script.end();
     235                 :     1088834 :     opcodetype opcode;
     236                 :     1088834 :     do
     237                 :             :     {
     238                 :     1088834 :         result.insert(result.end(), pc2, pc);
     239   [ +  +  +  +  :     2188144 :         while (static_cast<size_t>(end - pc) >= b.size() && std::equal(b.begin(), b.end(), pc))
             +  +  +  + ]
     240                 :             :         {
     241                 :       26057 :             pc = pc + b.size();
     242                 :       26057 :             ++nFound;
     243                 :             :         }
     244                 :     1088834 :         pc2 = pc;
     245                 :             :     }
     246   [ +  -  +  + ]:     1088834 :     while (script.GetOp(pc, opcode));
     247                 :             : 
     248         [ +  + ]:      152547 :     if (nFound > 0) {
     249                 :       19606 :         result.insert(result.end(), pc2, end);
     250                 :       19606 :         script = std::move(result);
     251                 :             :     }
     252                 :             : 
     253                 :      152547 :     return nFound;
     254                 :      152547 : }
     255                 :             : 
     256                 :             : namespace {
     257                 :             : /** A data type to abstract out the condition stack during script execution.
     258                 :             :  *
     259                 :             :  * Conceptually it acts like a vector of booleans, one for each level of nested
     260                 :             :  * IF/THEN/ELSE, indicating whether we're in the active or inactive branch of
     261                 :             :  * each.
     262                 :             :  *
     263                 :             :  * The elements on the stack cannot be observed individually; we only need to
     264                 :             :  * expose whether the stack is empty and whether or not any false values are
     265                 :             :  * present at all. To implement OP_ELSE, a toggle_top modifier is added, which
     266                 :             :  * flips the last value without returning it.
     267                 :             :  *
     268                 :             :  * This uses an optimized implementation that does not materialize the
     269                 :             :  * actual stack. Instead, it just stores the size of the would-be stack,
     270                 :             :  * and the position of the first false value in it.
     271                 :             :  */
     272                 :             : class ConditionStack {
     273                 :             : private:
     274                 :             :     //! A constant for m_first_false_pos to indicate there are no falses.
     275                 :             :     static constexpr uint32_t NO_FALSE = std::numeric_limits<uint32_t>::max();
     276                 :             : 
     277                 :             :     //! The size of the implied stack.
     278                 :             :     uint32_t m_stack_size = 0;
     279                 :             :     //! The position of the first false value on the implied stack, or NO_FALSE if all true.
     280                 :             :     uint32_t m_first_false_pos = NO_FALSE;
     281                 :             : 
     282                 :             : public:
     283                 :     1110210 :     bool empty() const { return m_stack_size == 0; }
     284                 :     6996014 :     bool all_true() const { return m_first_false_pos == NO_FALSE; }
     285                 :        7668 :     void push_back(bool f)
     286                 :             :     {
     287         [ +  + ]:        7371 :         if (m_first_false_pos == NO_FALSE && !f) {
     288                 :             :             // The stack consists of all true values, and a false is added.
     289                 :             :             // The first false value will appear at the current size.
     290                 :        3762 :             m_first_false_pos = m_stack_size;
     291                 :             :         }
     292                 :        7668 :         ++m_stack_size;
     293                 :        7668 :     }
     294                 :        6284 :     void pop_back()
     295                 :             :     {
     296         [ -  + ]:        6284 :         assert(m_stack_size > 0);
     297                 :        6284 :         --m_stack_size;
     298         [ +  + ]:        6284 :         if (m_first_false_pos == m_stack_size) {
     299                 :             :             // When popping off the first false value, everything becomes true.
     300                 :        3368 :             m_first_false_pos = NO_FALSE;
     301                 :             :         }
     302                 :        6284 :     }
     303                 :        5683 :     void toggle_top()
     304                 :             :     {
     305         [ -  + ]:        5683 :         assert(m_stack_size > 0);
     306         [ +  + ]:        5683 :         if (m_first_false_pos == NO_FALSE) {
     307                 :             :             // The current stack is all true values; the first false will be the top.
     308                 :        2615 :             m_first_false_pos = m_stack_size - 1;
     309         [ +  + ]:        3068 :         } else if (m_first_false_pos == m_stack_size - 1) {
     310                 :             :             // The top is the first false value; toggling it will make everything true.
     311                 :        2752 :             m_first_false_pos = NO_FALSE;
     312                 :             :         } else {
     313                 :             :             // There is a false value, but not on top. No action is needed as toggling
     314                 :             :             // anything but the first false value is unobservable.
     315                 :             :         }
     316                 :        5683 :     }
     317                 :             : };
     318                 :             : }
     319                 :             : 
     320                 :      152400 : static bool EvalChecksigPreTapscript(const valtype& vchSig, const valtype& vchPubKey, CScript::const_iterator pbegincodehash, CScript::const_iterator pend, unsigned int flags, const BaseSignatureChecker& checker, SigVersion sigversion, ScriptError* serror, bool& fSuccess)
     321                 :             : {
     322         [ -  + ]:      152400 :     assert(sigversion == SigVersion::BASE || sigversion == SigVersion::WITNESS_V0);
     323                 :             : 
     324                 :             :     // Subset of script starting at the most recent codeseparator
     325                 :      152400 :     CScript scriptCode(pbegincodehash, pend);
     326                 :             : 
     327                 :             :     // Drop the signature in pre-segwit scripts but not segwit scripts
     328         [ +  + ]:      152400 :     if (sigversion == SigVersion::BASE) {
     329         [ +  - ]:       97001 :         int found = FindAndDelete(scriptCode, CScript() << vchSig);
     330   [ +  +  +  + ]:       97001 :         if (found > 0 && (flags & SCRIPT_VERIFY_CONST_SCRIPTCODE))
     331         [ +  - ]:          96 :             return set_error(serror, SCRIPT_ERR_SIG_FINDANDDELETE);
     332                 :             :     }
     333                 :             : 
     334   [ +  -  +  +  :      152304 :     if (!CheckSignatureEncoding(vchSig, flags, serror) || !CheckPubKeyEncoding(vchPubKey, flags, sigversion, serror)) {
                   +  + ]
     335                 :             :         //serror is set
     336                 :       14679 :         return false;
     337                 :             :     }
     338         [ +  - ]:      137625 :     fSuccess = checker.CheckECDSASignature(vchSig, vchPubKey, scriptCode, sigversion);
     339                 :             : 
     340   [ +  +  +  +  :      137625 :     if (!fSuccess && (flags & SCRIPT_VERIFY_NULLFAIL) && vchSig.size())
                   +  + ]
     341         [ +  + ]:      152634 :         return set_error(serror, SCRIPT_ERR_SIG_NULLFAIL);
     342                 :             : 
     343                 :             :     return true;
     344                 :      152400 : }
     345                 :             : 
     346                 :      108061 : static bool EvalChecksigTapscript(const valtype& sig, const valtype& pubkey, ScriptExecutionData& execdata, unsigned int flags, const BaseSignatureChecker& checker, SigVersion sigversion, ScriptError* serror, bool& success)
     347                 :             : {
     348         [ -  + ]:      108061 :     assert(sigversion == SigVersion::TAPSCRIPT);
     349                 :             : 
     350                 :             :     /*
     351                 :             :      *  The following validation sequence is consensus critical. Please note how --
     352                 :             :      *    upgradable public key versions precede other rules;
     353                 :             :      *    the script execution fails when using empty signature with invalid public key;
     354                 :             :      *    the script execution fails when using non-empty invalid signature.
     355                 :             :      */
     356                 :      108061 :     success = !sig.empty();
     357         [ +  + ]:      108061 :     if (success) {
     358                 :             :         // Implement the sigops/witnesssize ratio test.
     359                 :             :         // Passing with an upgradable public key version is also counted.
     360         [ -  + ]:       13043 :         assert(execdata.m_validation_weight_left_init);
     361                 :       13043 :         execdata.m_validation_weight_left -= VALIDATION_WEIGHT_PER_SIGOP_PASSED;
     362         [ +  + ]:       13043 :         if (execdata.m_validation_weight_left < 0) {
     363         [ +  - ]:          55 :             return set_error(serror, SCRIPT_ERR_TAPSCRIPT_VALIDATION_WEIGHT);
     364                 :             :         }
     365                 :             :     }
     366         [ +  + ]:      108006 :     if (pubkey.size() == 0) {
     367         [ +  - ]:          20 :         return set_error(serror, SCRIPT_ERR_PUBKEYTYPE);
     368         [ +  + ]:      107986 :     } else if (pubkey.size() == 32) {
     369   [ +  +  +  + ]:      104173 :         if (success && !checker.CheckSchnorrSignature(sig, pubkey, sigversion, execdata, serror)) {
     370                 :         580 :             return false; // serror is set
     371                 :             :         }
     372                 :             :     } else {
     373                 :             :         /*
     374                 :             :          *  New public key version softforks should be defined before this `else` block.
     375                 :             :          *  Generally, the new code should not do anything but failing the script execution. To avoid
     376                 :             :          *  consensus bugs, it should not modify any existing values (including `success`).
     377                 :             :          */
     378         [ +  + ]:        3813 :         if ((flags & SCRIPT_VERIFY_DISCOURAGE_UPGRADABLE_PUBKEYTYPE) != 0) {
     379         [ +  - ]:          11 :             return set_error(serror, SCRIPT_ERR_DISCOURAGE_UPGRADABLE_PUBKEYTYPE);
     380                 :             :         }
     381                 :             :     }
     382                 :             : 
     383                 :             :     return true;
     384                 :             : }
     385                 :             : 
     386                 :             : /** Helper for OP_CHECKSIG, OP_CHECKSIGVERIFY, and (in Tapscript) OP_CHECKSIGADD.
     387                 :             :  *
     388                 :             :  * A return value of false means the script fails entirely. When true is returned, the
     389                 :             :  * success variable indicates whether the signature check itself succeeded.
     390                 :             :  */
     391                 :      260461 : static bool EvalChecksig(const valtype& sig, const valtype& pubkey, CScript::const_iterator pbegincodehash, CScript::const_iterator pend, ScriptExecutionData& execdata, unsigned int flags, const BaseSignatureChecker& checker, SigVersion sigversion, ScriptError* serror, bool& success)
     392                 :             : {
     393      [ +  +  - ]:      260461 :     switch (sigversion) {
     394                 :      152400 :     case SigVersion::BASE:
     395                 :      152400 :     case SigVersion::WITNESS_V0:
     396                 :      152400 :         return EvalChecksigPreTapscript(sig, pubkey, pbegincodehash, pend, flags, checker, sigversion, serror, success);
     397                 :      108061 :     case SigVersion::TAPSCRIPT:
     398                 :      108061 :         return EvalChecksigTapscript(sig, pubkey, execdata, flags, checker, sigversion, serror, success);
     399                 :             :     case SigVersion::TAPROOT:
     400                 :             :         // Key path spending in Taproot has no script, so this is unreachable.
     401                 :             :         break;
     402                 :             :     }
     403                 :           0 :     assert(false);
     404                 :             : }
     405                 :             : 
     406                 :     1249751 : bool EvalScript(std::vector<std::vector<unsigned char> >& stack, const CScript& script, unsigned int flags, const BaseSignatureChecker& checker, SigVersion sigversion, ScriptExecutionData& execdata, ScriptError* serror)
     407                 :             : {
     408   [ +  +  +  + ]:     1249751 :     static const CScriptNum bnZero(0);
     409   [ +  +  +  + ]:     1249751 :     static const CScriptNum bnOne(1);
     410                 :             :     // static const CScriptNum bnFalse(0);
     411                 :             :     // static const CScriptNum bnTrue(1);
     412   [ +  +  +  - ]:     1250976 :     static const valtype vchFalse(0);
     413                 :             :     // static const valtype vchZero(0);
     414   [ +  +  +  +  :     1250166 :     static const valtype vchTrue(1, 1);
                   +  - ]
     415                 :             : 
     416                 :             :     // sigversion cannot be TAPROOT here, as it admits no script execution.
     417   [ +  +  -  + ]:     1249751 :     assert(sigversion == SigVersion::BASE || sigversion == SigVersion::WITNESS_V0 || sigversion == SigVersion::TAPSCRIPT);
     418                 :             : 
     419         [ +  + ]:     1249751 :     CScript::const_iterator pc = script.begin();
     420                 :     1249751 :     CScript::const_iterator pend = script.end();
     421         [ +  + ]:     1249751 :     CScript::const_iterator pbegincodehash = script.begin();
     422                 :     1249751 :     opcodetype opcode;
     423                 :     1249751 :     valtype vchPushValue;
     424                 :     1249751 :     ConditionStack vfExec;
     425                 :     1249751 :     std::vector<valtype> altstack;
     426         [ +  + ]:     1249751 :     set_error(serror, SCRIPT_ERR_UNKNOWN_ERROR);
     427   [ +  +  +  +  :     1249751 :     if ((sigversion == SigVersion::BASE || sigversion == SigVersion::WITNESS_V0) && script.size() > MAX_SCRIPT_SIZE) {
                   +  + ]
     428         [ +  - ]:          11 :         return set_error(serror, SCRIPT_ERR_SCRIPT_SIZE);
     429                 :             :     }
     430                 :     1249740 :     int nOpCount = 0;
     431                 :     1249740 :     bool fRequireMinimal = (flags & SCRIPT_VERIFY_MINIMALDATA) != 0;
     432                 :     1249740 :     uint32_t opcode_pos = 0;
     433                 :     1249740 :     execdata.m_codeseparator_pos = 0xFFFFFFFFUL;
     434                 :     1249740 :     execdata.m_codeseparator_pos_init = true;
     435                 :             : 
     436                 :     1249740 :     try
     437                 :             :     {
     438         [ +  + ]:     8094087 :         for (; pc < pend; ++opcode_pos) {
     439                 :     6996014 :             bool fExec = vfExec.all_true();
     440                 :             : 
     441                 :             :             //
     442                 :             :             // Read instruction
     443                 :             :             //
     444   [ +  -  +  + ]:     6996014 :             if (!script.GetOp(pc, opcode, vchPushValue))
     445         [ +  - ]:          28 :                 return set_error(serror, SCRIPT_ERR_BAD_OPCODE);
     446         [ +  + ]:     6995986 :             if (vchPushValue.size() > MAX_SCRIPT_ELEMENT_SIZE)
     447         [ +  - ]:         389 :                 return set_error(serror, SCRIPT_ERR_PUSH_SIZE);
     448                 :             : 
     449         [ +  + ]:     6995597 :             if (sigversion == SigVersion::BASE || sigversion == SigVersion::WITNESS_V0) {
     450                 :             :                 // Note how OP_RESERVED does not count towards the opcode limit.
     451   [ +  +  +  + ]:     1989559 :                 if (opcode > OP_16 && ++nOpCount > MAX_OPS_PER_SCRIPT) {
     452         [ +  - ]:          28 :                     return set_error(serror, SCRIPT_ERR_OP_COUNT);
     453                 :             :                 }
     454                 :             :             }
     455                 :             : 
     456                 :     6995569 :             if (opcode == OP_CAT ||
     457                 :             :                 opcode == OP_SUBSTR ||
     458      [ +  +  + ]:     6995569 :                 opcode == OP_LEFT ||
     459                 :             :                 opcode == OP_RIGHT ||
     460                 :             :                 opcode == OP_INVERT ||
     461                 :             :                 opcode == OP_AND ||
     462                 :             :                 opcode == OP_OR ||
     463                 :             :                 opcode == OP_XOR ||
     464                 :             :                 opcode == OP_2MUL ||
     465                 :             :                 opcode == OP_2DIV ||
     466                 :             :                 opcode == OP_MUL ||
     467                 :             :                 opcode == OP_DIV ||
     468                 :             :                 opcode == OP_MOD ||
     469                 :             :                 opcode == OP_LSHIFT ||
     470                 :             :                 opcode == OP_RSHIFT)
     471         [ +  - ]:         319 :                 return set_error(serror, SCRIPT_ERR_DISABLED_OPCODE); // Disabled opcodes (CVE-2010-5137).
     472                 :             : 
     473                 :             :             // With SCRIPT_VERIFY_CONST_SCRIPTCODE, OP_CODESEPARATOR in non-segwit script is rejected even in an unexecuted branch
     474   [ +  +  +  + ]:        1676 :             if (opcode == OP_CODESEPARATOR && sigversion == SigVersion::BASE && (flags & SCRIPT_VERIFY_CONST_SCRIPTCODE))
     475         [ +  - ]:         309 :                 return set_error(serror, SCRIPT_ERR_OP_CODESEPARATOR);
     476                 :             : 
     477   [ +  +  +  -  :     6994941 :             if (fExec && 0 <= opcode && opcode <= OP_PUSHDATA4) {
                   +  + ]
     478   [ +  +  +  -  :     1320959 :                 if (fRequireMinimal && !CheckMinimalPush(vchPushValue, opcode)) {
                   +  + ]
     479         [ +  - ]:         214 :                     return set_error(serror, SCRIPT_ERR_MINIMALDATA);
     480                 :             :                 }
     481         [ +  - ]:     1320745 :                 stack.push_back(vchPushValue);
     482         [ +  + ]:      238657 :             } else if (fExec || (OP_IF <= opcode && opcode <= OP_ENDIF))
     483   [ +  +  +  +  :     5442410 :             switch (opcode)
          +  +  +  +  +  
          +  +  +  +  +  
          +  +  +  +  +  
          +  +  +  +  +  
          +  +  +  +  +  
          +  +  +  +  +  
             +  +  +  +  
                      + ]
     484                 :             :             {
     485                 :             :                 //
     486                 :             :                 // Push value
     487                 :             :                 //
     488                 :      278882 :                 case OP_1NEGATE:
     489                 :      278882 :                 case OP_1:
     490                 :      278882 :                 case OP_2:
     491                 :      278882 :                 case OP_3:
     492                 :      278882 :                 case OP_4:
     493                 :      278882 :                 case OP_5:
     494                 :      278882 :                 case OP_6:
     495                 :      278882 :                 case OP_7:
     496                 :      278882 :                 case OP_8:
     497                 :      278882 :                 case OP_9:
     498                 :      278882 :                 case OP_10:
     499                 :      278882 :                 case OP_11:
     500                 :      278882 :                 case OP_12:
     501                 :      278882 :                 case OP_13:
     502                 :      278882 :                 case OP_14:
     503                 :      278882 :                 case OP_15:
     504                 :      278882 :                 case OP_16:
     505                 :      278882 :                 {
     506                 :             :                     // ( -- value)
     507         [ +  - ]:      278882 :                     CScriptNum bn((int)opcode - (int)(OP_1 - 1));
     508   [ +  -  +  - ]:      278882 :                     stack.push_back(bn.getvch());
     509                 :             :                     // The result of these opcodes should always be the minimal way to push the data
     510                 :             :                     // they push, so no need for a CheckMinimalPush here.
     511                 :             :                 }
     512                 :      278882 :                 break;
     513                 :             : 
     514                 :             : 
     515                 :             :                 //
     516                 :             :                 // Control
     517                 :             :                 //
     518                 :             :                 case OP_NOP:
     519                 :             :                     break;
     520                 :             : 
     521                 :       16804 :                 case OP_CHECKLOCKTIMEVERIFY:
     522                 :       16804 :                 {
     523         [ +  + ]:       16804 :                     if (!(flags & SCRIPT_VERIFY_CHECKLOCKTIMEVERIFY)) {
     524                 :             :                         // not enabled; treat as a NOP2
     525                 :             :                         break;
     526                 :             :                     }
     527                 :             : 
     528         [ +  + ]:       11617 :                     if (stack.size() < 1)
     529         [ +  - ]:          81 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     530                 :             : 
     531                 :             :                     // Note that elsewhere numeric opcodes are limited to
     532                 :             :                     // operands in the range -2**31+1 to 2**31-1, however it is
     533                 :             :                     // legal for opcodes to produce results exceeding that
     534                 :             :                     // range. This limitation is implemented by CScriptNum's
     535                 :             :                     // default 4-byte limit.
     536                 :             :                     //
     537                 :             :                     // If we kept to that limit we'd have a year 2038 problem,
     538                 :             :                     // even though the nLockTime field in transactions
     539                 :             :                     // themselves is uint32 which only becomes meaningless
     540                 :             :                     // after the year 2106.
     541                 :             :                     //
     542                 :             :                     // Thus as a special case we tell CScriptNum to accept up
     543                 :             :                     // to 5-byte bignums, which are good until 2**39-1, well
     544                 :             :                     // beyond the 2**32-1 limit of the nLockTime field itself.
     545   [ +  -  +  + ]:       11536 :                     const CScriptNum nLockTime(stacktop(-1), fRequireMinimal, 5);
     546                 :             : 
     547                 :             :                     // In the rare event that the argument may be < 0 due to
     548                 :             :                     // some arithmetic being done first, you can always use
     549                 :             :                     // 0 MAX CHECKLOCKTIMEVERIFY.
     550         [ +  + ]:       11489 :                     if (nLockTime < 0)
     551         [ +  - ]:         121 :                         return set_error(serror, SCRIPT_ERR_NEGATIVE_LOCKTIME);
     552                 :             : 
     553                 :             :                     // Actually compare the specified lock time with the transaction.
     554   [ +  -  +  + ]:       11368 :                     if (!checker.CheckLockTime(nLockTime))
     555         [ +  - ]:       10718 :                         return set_error(serror, SCRIPT_ERR_UNSATISFIED_LOCKTIME);
     556                 :             : 
     557                 :             :                     break;
     558                 :             :                 }
     559                 :             : 
     560                 :       23543 :                 case OP_CHECKSEQUENCEVERIFY:
     561                 :       23543 :                 {
     562         [ +  + ]:       23543 :                     if (!(flags & SCRIPT_VERIFY_CHECKSEQUENCEVERIFY)) {
     563                 :             :                         // not enabled; treat as a NOP3
     564                 :             :                         break;
     565                 :             :                     }
     566                 :             : 
     567         [ +  + ]:       18039 :                     if (stack.size() < 1)
     568         [ +  - ]:          58 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     569                 :             : 
     570                 :             :                     // nSequence, like nLockTime, is a 32-bit unsigned integer
     571                 :             :                     // field. See the comment in CHECKLOCKTIMEVERIFY regarding
     572                 :             :                     // 5-byte numeric operands.
     573   [ +  -  +  + ]:       17981 :                     const CScriptNum nSequence(stacktop(-1), fRequireMinimal, 5);
     574                 :             : 
     575                 :             :                     // In the rare event that the argument may be < 0 due to
     576                 :             :                     // some arithmetic being done first, you can always use
     577                 :             :                     // 0 MAX CHECKSEQUENCEVERIFY.
     578         [ +  + ]:       17928 :                     if (nSequence < 0)
     579         [ +  - ]:          97 :                         return set_error(serror, SCRIPT_ERR_NEGATIVE_LOCKTIME);
     580                 :             : 
     581                 :             :                     // To provide for future soft-fork extensibility, if the
     582                 :             :                     // operand has the disabled lock-time flag set,
     583                 :             :                     // CHECKSEQUENCEVERIFY behaves as a NOP.
     584         [ +  + ]:       17831 :                     if ((nSequence & CTxIn::SEQUENCE_LOCKTIME_DISABLE_FLAG) != 0)
     585                 :             :                         break;
     586                 :             : 
     587                 :             :                     // Compare the specified sequence number with the input.
     588   [ +  -  +  + ]:       17249 :                     if (!checker.CheckSequence(nSequence))
     589         [ +  - ]:       10611 :                         return set_error(serror, SCRIPT_ERR_UNSATISFIED_LOCKTIME);
     590                 :             : 
     591                 :             :                     break;
     592                 :             :                 }
     593                 :             : 
     594                 :         657 :                 case OP_NOP1: case OP_NOP4: case OP_NOP5:
     595                 :         657 :                 case OP_NOP6: case OP_NOP7: case OP_NOP8: case OP_NOP9: case OP_NOP10:
     596                 :         657 :                 {
     597         [ +  + ]:         657 :                     if (flags & SCRIPT_VERIFY_DISCOURAGE_UPGRADABLE_NOPS)
     598         [ +  - ]:         140 :                         return set_error(serror, SCRIPT_ERR_DISCOURAGE_UPGRADABLE_NOPS);
     599                 :             :                 }
     600                 :             :                 break;
     601                 :             : 
     602                 :        8122 :                 case OP_IF:
     603                 :        8122 :                 case OP_NOTIF:
     604                 :        8122 :                 {
     605                 :             :                     // <expression> if [statements] [else [statements]] endif
     606                 :        8122 :                     bool fValue = false;
     607         [ +  + ]:        8122 :                     if (fExec)
     608                 :             :                     {
     609         [ +  + ]:        7825 :                         if (stack.size() < 1)
     610         [ +  - ]:         193 :                             return set_error(serror, SCRIPT_ERR_UNBALANCED_CONDITIONAL);
     611         [ +  - ]:        7632 :                         valtype& vch = stacktop(-1);
     612                 :             :                         // Tapscript requires minimal IF/NOTIF inputs as a consensus rule.
     613         [ +  + ]:        7632 :                         if (sigversion == SigVersion::TAPSCRIPT) {
     614                 :             :                             // The input argument to the OP_IF and OP_NOTIF opcodes must be either
     615                 :             :                             // exactly 0 (the empty vector) or exactly 1 (the one-byte vector with value 1).
     616   [ +  +  +  +  :         608 :                             if (vch.size() > 1 || (vch.size() == 1 && vch[0] != 1)) {
                   +  + ]
     617         [ +  - ]:           8 :                                 return set_error(serror, SCRIPT_ERR_TAPSCRIPT_MINIMALIF);
     618                 :             :                             }
     619                 :             :                         }
     620                 :             :                         // Under witness v0 rules it is only a policy rule, enabled through SCRIPT_VERIFY_MINIMALIF.
     621   [ +  +  +  + ]:        7624 :                         if (sigversion == SigVersion::WITNESS_V0 && (flags & SCRIPT_VERIFY_MINIMALIF)) {
     622         [ +  + ]:        1140 :                             if (vch.size() > 1)
     623         [ +  - ]:          83 :                                 return set_error(serror, SCRIPT_ERR_MINIMALIF);
     624   [ +  +  +  + ]:        1057 :                             if (vch.size() == 1 && vch[0] != 1)
     625         [ +  - ]:         170 :                                 return set_error(serror, SCRIPT_ERR_MINIMALIF);
     626                 :             :                         }
     627         [ +  - ]:        7371 :                         fValue = CastToBool(vch);
     628         [ +  + ]:        7371 :                         if (opcode == OP_NOTIF)
     629                 :         927 :                             fValue = !fValue;
     630         [ +  - ]:        7371 :                         popstack(stack);
     631                 :             :                     }
     632         [ +  + ]:        7668 :                     vfExec.push_back(fValue);
     633                 :             :                 }
     634                 :        7668 :                 break;
     635                 :             : 
     636                 :        5733 :                 case OP_ELSE:
     637                 :        5733 :                 {
     638         [ +  + ]:        5733 :                     if (vfExec.empty())
     639         [ +  - ]:          50 :                         return set_error(serror, SCRIPT_ERR_UNBALANCED_CONDITIONAL);
     640                 :        5683 :                     vfExec.toggle_top();
     641                 :             :                 }
     642                 :        5683 :                 break;
     643                 :             : 
     644                 :        6404 :                 case OP_ENDIF:
     645                 :        6404 :                 {
     646         [ +  + ]:        6404 :                     if (vfExec.empty())
     647         [ +  - ]:         120 :                         return set_error(serror, SCRIPT_ERR_UNBALANCED_CONDITIONAL);
     648                 :        6284 :                     vfExec.pop_back();
     649                 :             :                 }
     650                 :        6284 :                 break;
     651                 :             : 
     652                 :        2203 :                 case OP_VERIFY:
     653                 :        2203 :                 {
     654                 :             :                     // (true -- ) or
     655                 :             :                     // (false -- false) and return
     656         [ +  + ]:        2203 :                     if (stack.size() < 1)
     657         [ +  - ]:           8 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     658   [ +  -  +  - ]:        2195 :                     bool fValue = CastToBool(stacktop(-1));
     659         [ +  + ]:        2195 :                     if (fValue)
     660         [ +  - ]:        2157 :                         popstack(stack);
     661                 :             :                     else
     662         [ +  - ]:          38 :                         return set_error(serror, SCRIPT_ERR_VERIFY);
     663                 :             :                 }
     664                 :             :                 break;
     665                 :             : 
     666                 :         752 :                 case OP_RETURN:
     667                 :         752 :                 {
     668         [ +  - ]:         752 :                     return set_error(serror, SCRIPT_ERR_OP_RETURN);
     669                 :             :                 }
     670                 :        7628 :                 break;
     671                 :             : 
     672                 :             : 
     673                 :             :                 //
     674                 :             :                 // Stack ops
     675                 :             :                 //
     676                 :        7628 :                 case OP_TOALTSTACK:
     677                 :        7628 :                 {
     678         [ +  + ]:        7628 :                     if (stack.size() < 1)
     679         [ +  - ]:           6 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     680   [ +  -  +  - ]:        7622 :                     altstack.push_back(stacktop(-1));
     681         [ +  - ]:        7622 :                     popstack(stack);
     682                 :             :                 }
     683                 :             :                 break;
     684                 :             : 
     685                 :        4571 :                 case OP_FROMALTSTACK:
     686                 :        4571 :                 {
     687         [ +  + ]:        4571 :                     if (altstack.size() < 1)
     688         [ +  - ]:          13 :                         return set_error(serror, SCRIPT_ERR_INVALID_ALTSTACK_OPERATION);
     689   [ +  -  +  - ]:        4558 :                     stack.push_back(altstacktop(-1));
     690         [ +  - ]:        4558 :                     popstack(altstack);
     691                 :             :                 }
     692                 :             :                 break;
     693                 :             : 
     694                 :       30202 :                 case OP_2DROP:
     695                 :       30202 :                 {
     696                 :             :                     // (x1 x2 -- )
     697         [ +  + ]:       30202 :                     if (stack.size() < 2)
     698         [ +  - ]:          13 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     699         [ +  - ]:       30189 :                     popstack(stack);
     700         [ +  - ]:       30189 :                     popstack(stack);
     701                 :             :                 }
     702                 :             :                 break;
     703                 :             : 
     704                 :       41137 :                 case OP_2DUP:
     705                 :       41137 :                 {
     706                 :             :                     // (x1 x2 -- x1 x2 x1 x2)
     707         [ +  + ]:       41137 :                     if (stack.size() < 2)
     708         [ +  - ]:          33 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     709   [ +  -  +  - ]:       41104 :                     valtype vch1 = stacktop(-2);
     710   [ +  -  +  - ]:       41104 :                     valtype vch2 = stacktop(-1);
     711         [ +  - ]:       41104 :                     stack.push_back(vch1);
     712         [ +  - ]:       41104 :                     stack.push_back(vch2);
     713                 :       41104 :                 }
     714                 :       41104 :                 break;
     715                 :             : 
     716                 :       22020 :                 case OP_3DUP:
     717                 :       22020 :                 {
     718                 :             :                     // (x1 x2 x3 -- x1 x2 x3 x1 x2 x3)
     719         [ +  + ]:       22020 :                     if (stack.size() < 3)
     720         [ +  - ]:          46 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     721   [ +  -  +  - ]:       21974 :                     valtype vch1 = stacktop(-3);
     722   [ +  -  +  - ]:       21974 :                     valtype vch2 = stacktop(-2);
     723   [ +  -  +  - ]:       21974 :                     valtype vch3 = stacktop(-1);
     724         [ +  - ]:       21974 :                     stack.push_back(vch1);
     725         [ +  - ]:       21974 :                     stack.push_back(vch2);
     726         [ +  - ]:       21974 :                     stack.push_back(vch3);
     727                 :       21974 :                 }
     728                 :       21974 :                 break;
     729                 :             : 
     730                 :          70 :                 case OP_2OVER:
     731                 :          70 :                 {
     732                 :             :                     // (x1 x2 x3 x4 -- x1 x2 x3 x4 x1 x2)
     733         [ +  + ]:          70 :                     if (stack.size() < 4)
     734         [ +  - ]:          36 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     735   [ +  -  +  - ]:          34 :                     valtype vch1 = stacktop(-4);
     736   [ +  -  +  - ]:          34 :                     valtype vch2 = stacktop(-3);
     737         [ +  - ]:          34 :                     stack.push_back(vch1);
     738         [ +  - ]:          34 :                     stack.push_back(vch2);
     739                 :          34 :                 }
     740                 :          34 :                 break;
     741                 :             : 
     742                 :         217 :                 case OP_2ROT:
     743                 :         217 :                 {
     744                 :             :                     // (x1 x2 x3 x4 x5 x6 -- x3 x4 x5 x6 x1 x2)
     745         [ +  + ]:         217 :                     if (stack.size() < 6)
     746         [ +  - ]:          13 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     747   [ +  -  +  - ]:         204 :                     valtype vch1 = stacktop(-6);
     748   [ +  -  +  - ]:         204 :                     valtype vch2 = stacktop(-5);
     749                 :         204 :                     stack.erase(stack.end()-6, stack.end()-4);
     750         [ +  - ]:         204 :                     stack.push_back(vch1);
     751         [ +  - ]:         204 :                     stack.push_back(vch2);
     752                 :         204 :                 }
     753                 :         204 :                 break;
     754                 :             : 
     755                 :          68 :                 case OP_2SWAP:
     756                 :          68 :                 {
     757                 :             :                     // (x1 x2 x3 x4 -- x3 x4 x1 x2)
     758         [ +  + ]:          68 :                     if (stack.size() < 4)
     759         [ +  - ]:          34 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     760   [ +  -  +  - ]:          34 :                     swap(stacktop(-4), stacktop(-2));
     761   [ +  -  +  - ]:          34 :                     swap(stacktop(-3), stacktop(-1));
     762                 :             :                 }
     763                 :          34 :                 break;
     764                 :             : 
     765                 :         188 :                 case OP_IFDUP:
     766                 :         188 :                 {
     767                 :             :                     // (x - 0 | x x)
     768         [ +  + ]:         188 :                     if (stack.size() < 1)
     769         [ +  - ]:          14 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     770   [ +  -  +  - ]:         174 :                     valtype vch = stacktop(-1);
     771   [ +  -  +  + ]:         174 :                     if (CastToBool(vch))
     772         [ +  - ]:         110 :                         stack.push_back(vch);
     773                 :           0 :                 }
     774                 :         174 :                 break;
     775                 :             : 
     776                 :        1207 :                 case OP_DEPTH:
     777                 :        1207 :                 {
     778                 :             :                     // -- stacksize
     779         [ +  - ]:        1207 :                     CScriptNum bn(stack.size());
     780   [ +  -  +  - ]:        1207 :                     stack.push_back(bn.getvch());
     781                 :             :                 }
     782                 :        1207 :                 break;
     783                 :             : 
     784                 :       20112 :                 case OP_DROP:
     785                 :       20112 :                 {
     786                 :             :                     // (x -- )
     787         [ +  + ]:       20112 :                     if (stack.size() < 1)
     788         [ +  - ]:          16 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     789         [ +  - ]:       20096 :                     popstack(stack);
     790                 :             :                 }
     791                 :             :                 break;
     792                 :             : 
     793                 :      145435 :                 case OP_DUP:
     794                 :      145435 :                 {
     795                 :             :                     // (x -- x x)
     796         [ +  + ]:      145435 :                     if (stack.size() < 1)
     797         [ +  + ]:       81979 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     798   [ +  -  +  - ]:       63456 :                     valtype vch = stacktop(-1);
     799         [ +  - ]:       63456 :                     stack.push_back(vch);
     800                 :           0 :                 }
     801                 :       63456 :                 break;
     802                 :             : 
     803                 :         245 :                 case OP_NIP:
     804                 :         245 :                 {
     805                 :             :                     // (x1 x2 -- x2)
     806         [ +  + ]:         245 :                     if (stack.size() < 2)
     807         [ +  - ]:          26 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     808                 :         219 :                     stack.erase(stack.end() - 2);
     809                 :             :                 }
     810                 :             :                 break;
     811                 :             : 
     812                 :          73 :                 case OP_OVER:
     813                 :          73 :                 {
     814                 :             :                     // (x1 x2 -- x1 x2 x1)
     815         [ +  + ]:          73 :                     if (stack.size() < 2)
     816         [ +  - ]:          26 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     817   [ +  -  +  - ]:          47 :                     valtype vch = stacktop(-2);
     818         [ +  - ]:          47 :                     stack.push_back(vch);
     819                 :           0 :                 }
     820                 :          47 :                 break;
     821                 :             : 
     822                 :         714 :                 case OP_PICK:
     823                 :         714 :                 case OP_ROLL:
     824                 :         714 :                 {
     825                 :             :                     // (xn ... x2 x1 x0 n - xn ... x2 x1 x0 xn)
     826                 :             :                     // (xn ... x2 x1 x0 n - ... x2 x1 x0 xn)
     827         [ +  + ]:         714 :                     if (stack.size() < 2)
     828         [ +  - ]:          41 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     829   [ +  -  +  + ]:         673 :                     int n = CScriptNum(stacktop(-1), fRequireMinimal).getint();
     830         [ +  - ]:         659 :                     popstack(stack);
     831   [ +  +  +  + ]:         659 :                     if (n < 0 || n >= (int)stack.size())
     832         [ +  - ]:          71 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     833   [ +  -  +  - ]:         588 :                     valtype vch = stacktop(-n-1);
     834         [ +  + ]:         588 :                     if (opcode == OP_ROLL)
     835                 :         139 :                         stack.erase(stack.end()-n-1);
     836         [ +  - ]:         588 :                     stack.push_back(vch);
     837                 :           0 :                 }
     838                 :         588 :                 break;
     839                 :             : 
     840                 :         211 :                 case OP_ROT:
     841                 :         211 :                 {
     842                 :             :                     // (x1 x2 x3 -- x2 x3 x1)
     843                 :             :                     //  x2 x1 x3  after first swap
     844                 :             :                     //  x2 x3 x1  after second swap
     845         [ +  + ]:         211 :                     if (stack.size() < 3)
     846         [ +  - ]:          33 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     847   [ +  -  +  - ]:         178 :                     swap(stacktop(-3), stacktop(-2));
     848   [ +  -  +  - ]:         178 :                     swap(stacktop(-2), stacktop(-1));
     849                 :             :                 }
     850                 :         178 :                 break;
     851                 :             : 
     852                 :        1890 :                 case OP_SWAP:
     853                 :        1890 :                 {
     854                 :             :                     // (x1 x2 -- x2 x1)
     855         [ +  + ]:        1890 :                     if (stack.size() < 2)
     856         [ +  - ]:          38 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     857   [ +  -  +  - ]:        1852 :                     swap(stacktop(-2), stacktop(-1));
     858                 :             :                 }
     859                 :        1852 :                 break;
     860                 :             : 
     861                 :          80 :                 case OP_TUCK:
     862                 :          80 :                 {
     863                 :             :                     // (x1 x2 -- x2 x1 x2)
     864         [ +  + ]:          80 :                     if (stack.size() < 2)
     865         [ +  - ]:          33 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     866   [ +  -  +  - ]:          47 :                     valtype vch = stacktop(-1);
     867         [ +  - ]:          47 :                     stack.insert(stack.end()-2, vch);
     868                 :           0 :                 }
     869                 :          47 :                 break;
     870                 :             : 
     871                 :             : 
     872                 :         979 :                 case OP_SIZE:
     873                 :         979 :                 {
     874                 :             :                     // (in -- in size)
     875         [ +  + ]:         979 :                     if (stack.size() < 1)
     876         [ +  - ]:          11 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     877   [ +  -  +  - ]:         968 :                     CScriptNum bn(stacktop(-1).size());
     878   [ +  -  +  - ]:         968 :                     stack.push_back(bn.getvch());
     879                 :             :                 }
     880                 :         968 :                 break;
     881                 :             : 
     882                 :             : 
     883                 :             :                 //
     884                 :             :                 // Bitwise logic
     885                 :             :                 //
     886                 :      110930 :                 case OP_EQUAL:
     887                 :      110930 :                 case OP_EQUALVERIFY:
     888                 :             :                 //case OP_NOTEQUAL: // use OP_NUMNOTEQUAL
     889                 :      110930 :                 {
     890                 :             :                     // (x1 x2 - bool)
     891         [ +  + ]:      110930 :                     if (stack.size() < 2)
     892         [ +  - ]:          55 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     893         [ +  - ]:      110875 :                     valtype& vch1 = stacktop(-2);
     894         [ +  - ]:      110875 :                     valtype& vch2 = stacktop(-1);
     895                 :      110875 :                     bool fEqual = (vch1 == vch2);
     896                 :             :                     // OP_NOTEQUAL is disabled because it would be too easy to say
     897                 :             :                     // something like n != 1 and have some wiseguy pass in 1 with extra
     898                 :             :                     // zero bytes after it (numerically, 0x01 == 0x0001 == 0x000001)
     899                 :             :                     //if (opcode == OP_NOTEQUAL)
     900                 :             :                     //    fEqual = !fEqual;
     901         [ +  - ]:      110875 :                     popstack(stack);
     902         [ +  - ]:      110875 :                     popstack(stack);
     903   [ +  +  +  - ]:      111243 :                     stack.push_back(fEqual ? vchTrue : vchFalse);
     904         [ +  + ]:      110875 :                     if (opcode == OP_EQUALVERIFY)
     905                 :             :                     {
     906         [ +  + ]:       63573 :                         if (fEqual)
     907         [ +  - ]:       63418 :                             popstack(stack);
     908                 :             :                         else
     909         [ +  - ]:         155 :                             return set_error(serror, SCRIPT_ERR_EQUALVERIFY);
     910                 :             :                     }
     911                 :             :                 }
     912                 :             :                 break;
     913                 :             : 
     914                 :             : 
     915                 :             :                 //
     916                 :             :                 // Numeric
     917                 :             :                 //
     918                 :     4285127 :                 case OP_1ADD:
     919                 :     4285127 :                 case OP_1SUB:
     920                 :     4285127 :                 case OP_NEGATE:
     921                 :     4285127 :                 case OP_ABS:
     922                 :     4285127 :                 case OP_NOT:
     923                 :     4285127 :                 case OP_0NOTEQUAL:
     924                 :     4285127 :                 {
     925                 :             :                     // (in -- out)
     926         [ +  + ]:     4285127 :                     if (stack.size() < 1)
     927         [ +  - ]:          44 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     928   [ +  -  +  + ]:     4285083 :                     CScriptNum bn(stacktop(-1), fRequireMinimal);
     929   [ +  +  +  +  :     4284847 :                     switch (opcode)
                +  +  - ]
     930                 :             :                     {
     931                 :         200 :                     case OP_1ADD:       bn += bnOne; break;
     932                 :          94 :                     case OP_1SUB:       bn -= bnOne; break;
     933                 :          68 :                     case OP_NEGATE:     bn = -bn; break;
     934         [ +  + ]:          85 :                     case OP_ABS:        if (bn < bnZero) bn = -bn; break;
     935                 :        1364 :                     case OP_NOT:        bn = (bn == bnZero); break;
     936                 :     4283036 :                     case OP_0NOTEQUAL:  bn = (bn != bnZero); break;
     937                 :           0 :                     default:            assert(!"invalid opcode"); break;
     938                 :             :                     }
     939         [ +  - ]:     4284847 :                     popstack(stack);
     940   [ +  -  +  - ]:     4284847 :                     stack.push_back(bn.getvch());
     941                 :             :                 }
     942                 :     4284847 :                 break;
     943                 :             : 
     944                 :        8679 :                 case OP_ADD:
     945                 :        8679 :                 case OP_SUB:
     946                 :        8679 :                 case OP_BOOLAND:
     947                 :        8679 :                 case OP_BOOLOR:
     948                 :        8679 :                 case OP_NUMEQUAL:
     949                 :        8679 :                 case OP_NUMEQUALVERIFY:
     950                 :        8679 :                 case OP_NUMNOTEQUAL:
     951                 :        8679 :                 case OP_LESSTHAN:
     952                 :        8679 :                 case OP_GREATERTHAN:
     953                 :        8679 :                 case OP_LESSTHANOREQUAL:
     954                 :        8679 :                 case OP_GREATERTHANOREQUAL:
     955                 :        8679 :                 case OP_MIN:
     956                 :        8679 :                 case OP_MAX:
     957                 :        8679 :                 {
     958                 :             :                     // (x1 x2 -- out)
     959         [ +  + ]:        8679 :                     if (stack.size() < 2)
     960         [ +  - ]:         171 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
     961   [ +  -  +  + ]:        8508 :                     CScriptNum bn1(stacktop(-2), fRequireMinimal);
     962   [ +  -  +  + ]:        8308 :                     CScriptNum bn2(stacktop(-1), fRequireMinimal);
     963   [ +  +  +  +  :        8211 :                     CScriptNum bn(0);
          +  +  +  +  +  
             +  +  +  +  
                      - ]
     964   [ +  +  +  +  :        8211 :                     switch (opcode)
          +  +  +  +  +  
             +  +  +  +  
                      - ]
     965                 :             :                     {
     966                 :         950 :                     case OP_ADD:
     967                 :         950 :                         bn = bn1 + bn2;
     968                 :         950 :                         break;
     969                 :             : 
     970                 :         120 :                     case OP_SUB:
     971                 :         120 :                         bn = bn1 - bn2;
     972                 :         120 :                         break;
     973                 :             : 
     974   [ +  +  +  + ]:        4581 :                     case OP_BOOLAND:             bn = (bn1 != bnZero && bn2 != bnZero); break;
     975   [ +  +  +  + ]:         248 :                     case OP_BOOLOR:              bn = (bn1 != bnZero || bn2 != bnZero); break;
     976                 :        1430 :                     case OP_NUMEQUAL:            bn = (bn1 == bn2); break;
     977                 :          71 :                     case OP_NUMEQUALVERIFY:      bn = (bn1 == bn2); break;
     978                 :          85 :                     case OP_NUMNOTEQUAL:         bn = (bn1 != bn2); break;
     979                 :         136 :                     case OP_LESSTHAN:            bn = (bn1 < bn2); break;
     980                 :         136 :                     case OP_GREATERTHAN:         bn = (bn1 > bn2); break;
     981                 :         136 :                     case OP_LESSTHANOREQUAL:     bn = (bn1 <= bn2); break;
     982                 :         136 :                     case OP_GREATERTHANOREQUAL:  bn = (bn1 >= bn2); break;
     983         [ +  + ]:         119 :                     case OP_MIN:                 bn = (bn1 < bn2 ? bn1 : bn2); break;
     984         [ +  + ]:         119 :                     case OP_MAX:                 bn = (bn1 > bn2 ? bn1 : bn2); break;
     985                 :           0 :                     default:                     assert(!"invalid opcode"); break;
     986                 :             :                     }
     987         [ +  - ]:        8211 :                     popstack(stack);
     988         [ +  - ]:        8211 :                     popstack(stack);
     989   [ +  -  +  - ]:        8211 :                     stack.push_back(bn.getvch());
     990                 :             : 
     991         [ +  + ]:        8211 :                     if (opcode == OP_NUMEQUALVERIFY)
     992                 :             :                     {
     993   [ +  -  +  -  :          71 :                         if (CastToBool(stacktop(-1)))
                   +  - ]
     994         [ +  - ]:          71 :                             popstack(stack);
     995                 :             :                         else
     996         [ #  # ]:           0 :                             return set_error(serror, SCRIPT_ERR_NUMEQUALVERIFY);
     997                 :             :                     }
     998                 :             :                 }
     999                 :             :                 break;
    1000                 :             : 
    1001                 :         307 :                 case OP_WITHIN:
    1002                 :         307 :                 {
    1003                 :             :                     // (x min max -- out)
    1004         [ +  + ]:         307 :                     if (stack.size() < 3)
    1005         [ +  - ]:          11 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1006   [ +  -  +  + ]:         296 :                     CScriptNum bn1(stacktop(-3), fRequireMinimal);
    1007   [ +  -  +  + ]:         289 :                     CScriptNum bn2(stacktop(-2), fRequireMinimal);
    1008   [ +  -  +  + ]:         282 :                     CScriptNum bn3(stacktop(-1), fRequireMinimal);
    1009   [ +  +  +  + ]:         275 :                     bool fValue = (bn2 <= bn1 && bn1 < bn3);
    1010         [ +  - ]:         275 :                     popstack(stack);
    1011         [ +  - ]:         275 :                     popstack(stack);
    1012         [ +  - ]:         275 :                     popstack(stack);
    1013   [ +  +  +  - ]:         377 :                     stack.push_back(fValue ? vchTrue : vchFalse);
    1014                 :             :                 }
    1015                 :             :                 break;
    1016                 :             : 
    1017                 :             : 
    1018                 :             :                 //
    1019                 :             :                 // Crypto
    1020                 :             :                 //
    1021                 :      112584 :                 case OP_RIPEMD160:
    1022                 :      112584 :                 case OP_SHA1:
    1023                 :      112584 :                 case OP_SHA256:
    1024                 :      112584 :                 case OP_HASH160:
    1025                 :      112584 :                 case OP_HASH256:
    1026                 :      112584 :                 {
    1027                 :             :                     // (in -- hash)
    1028         [ +  + ]:      112584 :                     if (stack.size() < 1)
    1029         [ +  + ]:        7120 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1030         [ +  - ]:      105464 :                     valtype& vch = stacktop(-1);
    1031   [ +  +  +  +  :      105940 :                     valtype vchHash((opcode == OP_RIPEMD160 || opcode == OP_SHA1 || opcode == OP_HASH160) ? 20 : 32);
                   +  - ]
    1032   [ +  +  +  +  :      105464 :                     if (opcode == OP_RIPEMD160)
                   +  - ]
    1033   [ +  -  +  -  :         138 :                         CRIPEMD160().Write(vch.data(), vch.size()).Finalize(vchHash.data());
                   +  - ]
    1034                 :             :                     else if (opcode == OP_SHA1)
    1035   [ +  -  +  -  :         748 :                         CSHA1().Write(vch.data(), vch.size()).Finalize(vchHash.data());
                   +  - ]
    1036                 :             :                     else if (opcode == OP_SHA256)
    1037   [ +  -  +  -  :         324 :                         CSHA256().Write(vch.data(), vch.size()).Finalize(vchHash.data());
                   +  - ]
    1038                 :             :                     else if (opcode == OP_HASH160)
    1039   [ +  -  +  -  :      104102 :                         CHash160().Write(vch).Finalize(vchHash);
                   +  - ]
    1040                 :             :                     else if (opcode == OP_HASH256)
    1041   [ +  -  +  -  :         152 :                         CHash256().Write(vch).Finalize(vchHash);
                   +  - ]
    1042         [ +  - ]:      105464 :                     popstack(stack);
    1043         [ +  - ]:      105464 :                     stack.push_back(vchHash);
    1044                 :           0 :                 }
    1045                 :      105464 :                 break;
    1046                 :             : 
    1047                 :        1234 :                 case OP_CODESEPARATOR:
    1048                 :        1234 :                 {
    1049                 :             :                     // If SCRIPT_VERIFY_CONST_SCRIPTCODE flag is set, use of OP_CODESEPARATOR is rejected in pre-segwit
    1050                 :             :                     // script, even in an unexecuted branch (this is checked above the opcode case statement).
    1051                 :             : 
    1052                 :             :                     // Hash starts after the code separator
    1053                 :        1234 :                     pbegincodehash = pc;
    1054                 :        1234 :                     execdata.m_codeseparator_pos = opcode_pos;
    1055                 :             :                 }
    1056                 :        1234 :                 break;
    1057                 :             : 
    1058                 :      181484 :                 case OP_CHECKSIG:
    1059                 :      181484 :                 case OP_CHECKSIGVERIFY:
    1060                 :      181484 :                 {
    1061                 :             :                     // (sig pubkey -- bool)
    1062         [ +  + ]:      181484 :                     if (stack.size() < 2)
    1063         [ +  + ]:       17813 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1064                 :             : 
    1065         [ +  - ]:      163671 :                     valtype& vchSig    = stacktop(-2);
    1066         [ +  - ]:      163671 :                     valtype& vchPubKey = stacktop(-1);
    1067                 :             : 
    1068                 :      163671 :                     bool fSuccess = true;
    1069   [ +  -  +  + ]:      163671 :                     if (!EvalChecksig(vchSig, vchPubKey, pbegincodehash, pend, execdata, flags, checker, sigversion, serror, fSuccess)) return false;
    1070         [ +  - ]:      148060 :                     popstack(stack);
    1071         [ +  - ]:      148060 :                     popstack(stack);
    1072   [ +  +  +  - ]:      150069 :                     stack.push_back(fSuccess ? vchTrue : vchFalse);
    1073         [ +  + ]:      148060 :                     if (opcode == OP_CHECKSIGVERIFY)
    1074                 :             :                     {
    1075         [ +  + ]:       40382 :                         if (fSuccess)
    1076         [ +  - ]:       40194 :                             popstack(stack);
    1077                 :             :                         else
    1078         [ +  - ]:         188 :                             return set_error(serror, SCRIPT_ERR_CHECKSIGVERIFY);
    1079                 :             :                     }
    1080                 :             :                 }
    1081                 :             :                 break;
    1082                 :             : 
    1083                 :       96869 :                 case OP_CHECKSIGADD:
    1084                 :       96869 :                 {
    1085                 :             :                     // OP_CHECKSIGADD is only available in Tapscript
    1086   [ +  +  +  + ]:       96869 :                     if (sigversion == SigVersion::BASE || sigversion == SigVersion::WITNESS_V0) return set_error(serror, SCRIPT_ERR_BAD_OPCODE);
    1087                 :             : 
    1088                 :             :                     // (sig num pubkey -- num)
    1089   [ +  +  +  - ]:       96797 :                     if (stack.size() < 3) return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1090                 :             : 
    1091         [ +  - ]:       96794 :                     const valtype& sig = stacktop(-3);
    1092   [ +  -  +  + ]:       96794 :                     const CScriptNum num(stacktop(-2), fRequireMinimal);
    1093         [ +  - ]:       96790 :                     const valtype& pubkey = stacktop(-1);
    1094                 :             : 
    1095                 :       96790 :                     bool success = true;
    1096   [ +  -  +  + ]:       96790 :                     if (!EvalChecksig(sig, pubkey, pbegincodehash, pend, execdata, flags, checker, sigversion, serror, success)) return false;
    1097         [ +  - ]:       96723 :                     popstack(stack);
    1098         [ +  - ]:       96723 :                     popstack(stack);
    1099         [ +  - ]:       96723 :                     popstack(stack);
    1100   [ +  +  +  -  :      191051 :                     stack.push_back((num + (success ? 1 : 0)).getvch());
                   +  - ]
    1101                 :             :                 }
    1102                 :       96723 :                 break;
    1103                 :             : 
    1104                 :       13168 :                 case OP_CHECKMULTISIG:
    1105                 :       13168 :                 case OP_CHECKMULTISIGVERIFY:
    1106                 :       13168 :                 {
    1107   [ +  +  +  - ]:       13168 :                     if (sigversion == SigVersion::TAPSCRIPT) return set_error(serror, SCRIPT_ERR_TAPSCRIPT_CHECKMULTISIG);
    1108                 :             : 
    1109                 :             :                     // ([sig ...] num_of_signatures [pubkey ...] num_of_pubkeys -- bool)
    1110                 :             : 
    1111                 :       13166 :                     int i = 1;
    1112         [ +  + ]:       13166 :                     if ((int)stack.size() < i)
    1113         [ +  - ]:          10 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1114                 :             : 
    1115   [ +  -  +  + ]:       13156 :                     int nKeysCount = CScriptNum(stacktop(-i), fRequireMinimal).getint();
    1116         [ +  + ]:       13140 :                     if (nKeysCount < 0 || nKeysCount > MAX_PUBKEYS_PER_MULTISIG)
    1117         [ +  - ]:          22 :                         return set_error(serror, SCRIPT_ERR_PUBKEY_COUNT);
    1118                 :       13118 :                     nOpCount += nKeysCount;
    1119         [ +  + ]:       13118 :                     if (nOpCount > MAX_OPS_PER_SCRIPT)
    1120         [ +  - ]:          27 :                         return set_error(serror, SCRIPT_ERR_OP_COUNT);
    1121                 :       13091 :                     int ikey = ++i;
    1122                 :             :                     // ikey2 is the position of last non-signature item in the stack. Top stack item = 1.
    1123                 :             :                     // With SCRIPT_VERIFY_NULLFAIL, this is used for cleanup if operation fails.
    1124                 :       13091 :                     int ikey2 = nKeysCount + 2;
    1125                 :       13091 :                     i += nKeysCount;
    1126         [ +  + ]:       13091 :                     if ((int)stack.size() < i)
    1127         [ +  - ]:          10 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1128                 :             : 
    1129   [ +  -  +  + ]:       13081 :                     int nSigsCount = CScriptNum(stacktop(-i), fRequireMinimal).getint();
    1130         [ +  + ]:       13048 :                     if (nSigsCount < 0 || nSigsCount > nKeysCount)
    1131         [ +  - ]:          22 :                         return set_error(serror, SCRIPT_ERR_SIG_COUNT);
    1132                 :       13026 :                     int isig = ++i;
    1133                 :       13026 :                     i += nSigsCount;
    1134         [ +  + ]:       13026 :                     if ((int)stack.size() < i)
    1135         [ +  + ]:         104 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1136                 :             : 
    1137                 :             :                     // Subset of script starting at the most recent codeseparator
    1138                 :       12922 :                     CScript scriptCode(pbegincodehash, pend);
    1139                 :             : 
    1140                 :             :                     // Drop the signature in pre-segwit scripts but not segwit scripts
    1141         [ +  + ]:       20889 :                     for (int k = 0; k < nSigsCount; k++)
    1142                 :             :                     {
    1143         [ +  - ]:        8065 :                         valtype& vchSig = stacktop(-isig-k);
    1144         [ +  + ]:        8065 :                         if (sigversion == SigVersion::BASE) {
    1145         [ +  - ]:        5531 :                             int found = FindAndDelete(scriptCode, CScript() << vchSig);
    1146   [ +  +  +  + ]:        5531 :                             if (found > 0 && (flags & SCRIPT_VERIFY_CONST_SCRIPTCODE))
    1147         [ +  - ]:          98 :                                 return set_error(serror, SCRIPT_ERR_SIG_FINDANDDELETE);
    1148                 :             :                         }
    1149                 :             :                     }
    1150                 :             : 
    1151                 :             :                     bool fSuccess = true;
    1152         [ +  + ]:       18213 :                     while (fSuccess && nSigsCount > 0)
    1153                 :             :                     {
    1154         [ +  - ]:        5868 :                         valtype& vchSig    = stacktop(-isig);
    1155         [ +  - ]:        5868 :                         valtype& vchPubKey = stacktop(-ikey);
    1156                 :             : 
    1157                 :             :                         // Note how this makes the exact order of pubkey/signature evaluation
    1158                 :             :                         // distinguishable by CHECKMULTISIG NOT if the STRICTENC flag is set.
    1159                 :             :                         // See the script_(in)valid tests for details.
    1160   [ +  -  +  +  :        5868 :                         if (!CheckSignatureEncoding(vchSig, flags, serror) || !CheckPubKeyEncoding(vchPubKey, flags, sigversion, serror)) {
                   +  + ]
    1161                 :             :                             // serror is set
    1162                 :         479 :                             return false;
    1163                 :             :                         }
    1164                 :             : 
    1165                 :             :                         // Check signature
    1166         [ +  - ]:        5389 :                         bool fOk = checker.CheckECDSASignature(vchSig, vchPubKey, scriptCode, sigversion);
    1167                 :             : 
    1168         [ +  + ]:        5389 :                         if (fOk) {
    1169                 :        3497 :                             isig++;
    1170                 :        3497 :                             nSigsCount--;
    1171                 :             :                         }
    1172                 :        5389 :                         ikey++;
    1173                 :        5389 :                         nKeysCount--;
    1174                 :             : 
    1175                 :             :                         // If there are more signatures left than keys left,
    1176                 :             :                         // then too many signatures have failed. Exit early,
    1177                 :             :                         // without checking any further signatures.
    1178         [ +  + ]:        5389 :                         if (nSigsCount > nKeysCount)
    1179                 :         765 :                             fSuccess = false;
    1180                 :             :                     }
    1181                 :             : 
    1182                 :             :                     // Clean up stack of actual arguments
    1183         [ +  + ]:       69667 :                     while (i-- > 1) {
    1184                 :             :                         // If the operation failed, we require that all signatures must be empty vector
    1185   [ +  +  +  +  :       57497 :                         if (!fSuccess && (flags & SCRIPT_VERIFY_NULLFAIL) && !ikey2 && stacktop(-1).size())
          +  +  +  -  +  
                      + ]
    1186         [ +  + ]:         175 :                             return set_error(serror, SCRIPT_ERR_SIG_NULLFAIL);
    1187         [ +  + ]:       57322 :                         if (ikey2 > 0)
    1188                 :       50902 :                             ikey2--;
    1189         [ +  - ]:       57322 :                         popstack(stack);
    1190                 :             :                     }
    1191                 :             : 
    1192                 :             :                     // A bug causes CHECKMULTISIG to consume one extra argument
    1193                 :             :                     // whose contents were not checked in any way.
    1194                 :             :                     //
    1195                 :             :                     // Unfortunately this is a potential source of mutability,
    1196                 :             :                     // so optionally verify it is exactly equal to zero prior
    1197                 :             :                     // to removing it from the stack.
    1198         [ -  + ]:       12170 :                     if (stack.size() < 1)
    1199         [ #  # ]:           0 :                         return set_error(serror, SCRIPT_ERR_INVALID_STACK_OPERATION);
    1200   [ +  +  +  -  :       12170 :                     if ((flags & SCRIPT_VERIFY_NULLDUMMY) && stacktop(-1).size())
                   +  + ]
    1201         [ +  - ]:         130 :                         return set_error(serror, SCRIPT_ERR_SIG_NULLDUMMY);
    1202         [ +  - ]:       12040 :                     popstack(stack);
    1203                 :             : 
    1204   [ +  +  +  - ]:       12616 :                     stack.push_back(fSuccess ? vchTrue : vchFalse);
    1205                 :             : 
    1206         [ +  + ]:       12040 :                     if (opcode == OP_CHECKMULTISIGVERIFY)
    1207                 :             :                     {
    1208         [ +  + ]:        4267 :                         if (fSuccess)
    1209         [ +  - ]:        4214 :                             popstack(stack);
    1210                 :             :                         else
    1211         [ +  - ]:         988 :                             return set_error(serror, SCRIPT_ERR_CHECKMULTISIGVERIFY);
    1212                 :             :                     }
    1213                 :         935 :                 }
    1214                 :       11987 :                 break;
    1215                 :             : 
    1216                 :        1101 :                 default:
    1217         [ +  - ]:        1101 :                     return set_error(serror, SCRIPT_ERR_BAD_OPCODE);
    1218                 :             :             }
    1219                 :             : 
    1220                 :             :             // Size limits
    1221         [ +  + ]:     6844733 :             if (stack.size() + altstack.size() > MAX_STACK_SIZE)
    1222         [ +  - ]:         386 :                 return set_error(serror, SCRIPT_ERR_STACK_SIZE);
    1223                 :             :         }
    1224                 :             :     }
    1225                 :         721 :     catch (...)
    1226                 :             :     {
    1227         [ +  - ]:         721 :         return set_error(serror, SCRIPT_ERR_UNKNOWN_ERROR);
    1228         [ +  - ]:         721 :     }
    1229                 :             : 
    1230         [ +  + ]:     1098073 :     if (!vfExec.empty())
    1231         [ +  - ]:          50 :         return set_error(serror, SCRIPT_ERR_UNBALANCED_CONDITIONAL);
    1232                 :             : 
    1233         [ +  + ]:     1098023 :     return set_success(serror);
    1234                 :     1249751 : }
    1235                 :             : 
    1236                 :     1123675 : bool EvalScript(std::vector<std::vector<unsigned char> >& stack, const CScript& script, unsigned int flags, const BaseSignatureChecker& checker, SigVersion sigversion, ScriptError* serror)
    1237                 :             : {
    1238                 :     1123675 :     ScriptExecutionData execdata;
    1239                 :     1123675 :     return EvalScript(stack, script, flags, checker, sigversion, execdata, serror);
    1240                 :             : }
    1241                 :             : 
    1242                 :             : namespace {
    1243                 :             : 
    1244                 :             : /**
    1245                 :             :  * Wrapper that serializes like CTransaction, but with the modifications
    1246                 :             :  *  required for the signature hash done in-place
    1247                 :             :  */
    1248                 :             : template <class T>
    1249                 :             : class CTransactionSignatureSerializer
    1250                 :             : {
    1251                 :             : private:
    1252                 :             :     const T& txTo;             //!< reference to the spending transaction (the one being serialized)
    1253                 :             :     const CScript& scriptCode; //!< output script being consumed
    1254                 :             :     const unsigned int nIn;    //!< input index of txTo being signed
    1255                 :             :     const bool fAnyoneCanPay;  //!< whether the hashtype has the SIGHASH_ANYONECANPAY flag set
    1256                 :             :     const bool fHashSingle;    //!< whether the hashtype is SIGHASH_SINGLE
    1257                 :             :     const bool fHashNone;      //!< whether the hashtype is SIGHASH_NONE
    1258                 :             : 
    1259                 :             : public:
    1260                 :      140580 :     CTransactionSignatureSerializer(const T& txToIn, const CScript& scriptCodeIn, unsigned int nInIn, int nHashTypeIn) :
    1261                 :      140580 :         txTo(txToIn), scriptCode(scriptCodeIn), nIn(nInIn),
    1262                 :      140580 :         fAnyoneCanPay(!!(nHashTypeIn & SIGHASH_ANYONECANPAY)),
    1263                 :      140580 :         fHashSingle((nHashTypeIn & 0x1f) == SIGHASH_SINGLE),
    1264                 :      140580 :         fHashNone((nHashTypeIn & 0x1f) == SIGHASH_NONE) {}
    1265                 :             : 
    1266                 :             :     /** Serialize the passed scriptCode, skipping OP_CODESEPARATORs */
    1267                 :             :     template<typename S>
    1268                 :      140580 :     void SerializeScriptCode(S &s) const {
    1269         [ +  + ]:      140580 :         CScript::const_iterator it = scriptCode.begin();
    1270                 :      140580 :         CScript::const_iterator itBegin = it;
    1271                 :             :         opcodetype opcode;
    1272                 :      140580 :         unsigned int nCodeSeparators = 0;
    1273         [ +  + ]:     1041085 :         while (scriptCode.GetOp(it, opcode)) {
    1274         [ +  + ]:      900505 :             if (opcode == OP_CODESEPARATOR)
    1275                 :       25793 :                 nCodeSeparators++;
    1276                 :             :         }
    1277         [ +  + ]:      212140 :         ::WriteCompactSize(s, scriptCode.size() - nCodeSeparators);
    1278                 :      140580 :         it = itBegin;
    1279         [ +  + ]:     1181665 :         while (scriptCode.GetOp(it, opcode)) {
    1280         [ +  + ]:      900505 :             if (opcode == OP_CODESEPARATOR) {
    1281                 :       25793 :                 s.write(AsBytes(Span{&itBegin[0], size_t(it - itBegin - 1)}));
    1282                 :       25793 :                 itBegin = it;
    1283                 :             :             }
    1284                 :             :         }
    1285         [ +  + ]:      140580 :         if (itBegin != scriptCode.end())
    1286                 :      130411 :             s.write(AsBytes(Span{&itBegin[0], size_t(it - itBegin)}));
    1287                 :      140580 :     }
    1288                 :             : 
    1289                 :             :     /** Serialize an input of txTo */
    1290                 :             :     template<typename S>
    1291                 :      862284 :     void SerializeInput(S &s, unsigned int nInput) const {
    1292                 :             :         // In case of SIGHASH_ANYONECANPAY, only the input being signed is serialized
    1293         [ +  + ]:      862284 :         if (fAnyoneCanPay)
    1294                 :       25815 :             nInput = nIn;
    1295                 :             :         // Serialize the prevout
    1296                 :      862284 :         ::Serialize(s, txTo.vin[nInput].prevout);
    1297                 :             :         // Serialize the script
    1298         [ +  + ]:      862284 :         if (nInput != nIn)
    1299                 :             :             // Blank out other inputs' signatures
    1300         [ +  - ]:     1443408 :             ::Serialize(s, CScript());
    1301                 :             :         else
    1302                 :      140580 :             SerializeScriptCode(s);
    1303                 :             :         // Serialize the nSequence
    1304   [ +  +  +  +  :      862284 :         if (nInput != nIn && (fHashSingle || fHashNone))
                   +  + ]
    1305                 :             :             // let the others update at will
    1306                 :        2766 :             ::Serialize(s, int32_t{0});
    1307                 :             :         else
    1308                 :      859518 :             ::Serialize(s, txTo.vin[nInput].nSequence);
    1309                 :      862284 :     }
    1310                 :             : 
    1311                 :             :     /** Serialize an output of txTo */
    1312                 :             :     template<typename S>
    1313                 :      427076 :     void SerializeOutput(S &s, unsigned int nOutput) const {
    1314   [ +  +  +  + ]:      427076 :         if (fHashSingle && nOutput != nIn)
    1315                 :             :             // Do not lock-in the txout payee at other indices as txin
    1316         [ +  - ]:        2728 :             ::Serialize(s, CTxOut());
    1317                 :             :         else
    1318                 :      425712 :             ::Serialize(s, txTo.vout[nOutput]);
    1319                 :      427076 :     }
    1320                 :             : 
    1321                 :             :     /** Serialize txTo */
    1322                 :             :     template<typename S>
    1323                 :      140580 :     void Serialize(S &s) const {
    1324                 :             :         // Serialize version
    1325                 :      140580 :         ::Serialize(s, txTo.version);
    1326                 :             :         // Serialize vin
    1327         [ +  + ]:      140580 :         unsigned int nInputs = fAnyoneCanPay ? 1 : txTo.vin.size();
    1328                 :      140580 :         ::WriteCompactSize(s, nInputs);
    1329         [ +  + ]:     1002864 :         for (unsigned int nInput = 0; nInput < nInputs; nInput++)
    1330                 :      862284 :              SerializeInput(s, nInput);
    1331                 :             :         // Serialize vout
    1332   [ +  +  +  + ]:      140580 :         unsigned int nOutputs = fHashNone ? 0 : (fHashSingle ? nIn+1 : txTo.vout.size());
    1333                 :      140580 :         ::WriteCompactSize(s, nOutputs);
    1334         [ +  + ]:      567656 :         for (unsigned int nOutput = 0; nOutput < nOutputs; nOutput++)
    1335                 :      427076 :              SerializeOutput(s, nOutput);
    1336                 :             :         // Serialize nLockTime
    1337                 :      140580 :         ::Serialize(s, txTo.nLockTime);
    1338                 :      140580 :     }
    1339                 :             : };
    1340                 :             : 
    1341                 :             : /** Compute the (single) SHA256 of the concatenation of all prevouts of a tx. */
    1342                 :             : template <class T>
    1343                 :       61514 : uint256 GetPrevoutsSHA256(const T& txTo)
    1344                 :             : {
    1345                 :       61514 :     HashWriter ss{};
    1346         [ +  + ]:    20489812 :     for (const auto& txin : txTo.vin) {
    1347                 :    20428298 :         ss << txin.prevout;
    1348                 :             :     }
    1349                 :       61514 :     return ss.GetSHA256();
    1350                 :             : }
    1351                 :             : 
    1352                 :             : /** Compute the (single) SHA256 of the concatenation of all nSequences of a tx. */
    1353                 :             : template <class T>
    1354                 :       58514 : uint256 GetSequencesSHA256(const T& txTo)
    1355                 :             : {
    1356                 :       58514 :     HashWriter ss{};
    1357         [ +  + ]:     6986812 :     for (const auto& txin : txTo.vin) {
    1358                 :     6928298 :         ss << txin.nSequence;
    1359                 :             :     }
    1360                 :       58514 :     return ss.GetSHA256();
    1361                 :             : }
    1362                 :             : 
    1363                 :             : /** Compute the (single) SHA256 of the concatenation of all txouts of a tx. */
    1364                 :             : template <class T>
    1365                 :       60014 : uint256 GetOutputsSHA256(const T& txTo)
    1366                 :             : {
    1367                 :       60014 :     HashWriter ss{};
    1368         [ +  + ]:    13975831 :     for (const auto& txout : txTo.vout) {
    1369                 :    13915817 :         ss << txout;
    1370                 :             :     }
    1371                 :       60014 :     return ss.GetSHA256();
    1372                 :             : }
    1373                 :             : 
    1374                 :             : /** Compute the (single) SHA256 of the concatenation of all amounts spent by a tx. */
    1375                 :       48802 : uint256 GetSpentAmountsSHA256(const std::vector<CTxOut>& outputs_spent)
    1376                 :             : {
    1377                 :       48802 :     HashWriter ss{};
    1378         [ +  + ]:      166923 :     for (const auto& txout : outputs_spent) {
    1379                 :      118121 :         ss << txout.nValue;
    1380                 :             :     }
    1381                 :       48802 :     return ss.GetSHA256();
    1382                 :             : }
    1383                 :             : 
    1384                 :             : /** Compute the (single) SHA256 of the concatenation of all scriptPubKeys spent by a tx. */
    1385                 :       48802 : uint256 GetSpentScriptsSHA256(const std::vector<CTxOut>& outputs_spent)
    1386                 :             : {
    1387                 :       48802 :     HashWriter ss{};
    1388         [ +  + ]:      166923 :     for (const auto& txout : outputs_spent) {
    1389                 :      118121 :         ss << txout.scriptPubKey;
    1390                 :             :     }
    1391                 :       48802 :     return ss.GetSHA256();
    1392                 :             : }
    1393                 :             : 
    1394                 :             : 
    1395                 :             : } // namespace
    1396                 :             : 
    1397                 :             : template <class T>
    1398                 :       79622 : void PrecomputedTransactionData::Init(const T& txTo, std::vector<CTxOut>&& spent_outputs, bool force)
    1399                 :             : {
    1400         [ -  + ]:       79622 :     assert(!m_spent_outputs_ready);
    1401                 :             : 
    1402                 :       79622 :     m_spent_outputs = std::move(spent_outputs);
    1403         [ +  + ]:       79622 :     if (!m_spent_outputs.empty()) {
    1404         [ -  + ]:       79371 :         assert(m_spent_outputs.size() == txTo.vin.size());
    1405                 :       79371 :         m_spent_outputs_ready = true;
    1406                 :             :     }
    1407                 :             : 
    1408                 :             :     // Determine which precomputation-impacting features this transaction uses.
    1409                 :             :     bool uses_bip143_segwit = force;
    1410                 :             :     bool uses_bip341_taproot = force;
    1411   [ +  +  +  + ]:      183200 :     for (size_t inpos = 0; inpos < txTo.vin.size() && !(uses_bip143_segwit && uses_bip341_taproot); ++inpos) {
    1412         [ +  + ]:      104592 :         if (!txTo.vin[inpos].scriptWitness.IsNull()) {
    1413   [ +  +  +  +  :       69629 :             if (m_spent_outputs_ready && m_spent_outputs[inpos].scriptPubKey.size() == 2 + WITNESS_V1_TAPROOT_SIZE &&
             +  +  +  + ]
    1414         [ +  + ]:       55614 :                 m_spent_outputs[inpos].scriptPubKey[0] == OP_1) {
    1415                 :             :                 // Treat every witness-bearing spend with 34-byte scriptPubKey that starts with OP_1 as a Taproot
    1416                 :             :                 // spend. This only works if spent_outputs was provided as well, but if it wasn't, actual validation
    1417                 :             :                 // will fail anyway. Note that this branch may trigger for scriptPubKeys that aren't actually segwit
    1418                 :             :                 // but in that case validation will fail as SCRIPT_ERR_WITNESS_UNEXPECTED anyway.
    1419                 :             :                 uses_bip341_taproot = true;
    1420                 :             :             } else {
    1421                 :             :                 // Treat every spend that's not known to native witness v1 as a Witness v0 spend. This branch may
    1422                 :             :                 // also be taken for unknown witness versions, but it is harmless, and being precise would require
    1423                 :             :                 // P2SH evaluation to find the redeemScript.
    1424                 :             :                 uses_bip143_segwit = true;
    1425                 :             :             }
    1426                 :             :         }
    1427         [ +  + ]:      104592 :         if (uses_bip341_taproot && uses_bip143_segwit) break; // No need to scan further if we already need all.
    1428                 :             :     }
    1429                 :             : 
    1430         [ +  + ]:       79622 :     if (uses_bip143_segwit || uses_bip341_taproot) {
    1431                 :             :         // Computations shared between both sighash schemes.
    1432                 :       54132 :         m_prevouts_single_hash = GetPrevoutsSHA256(txTo);
    1433                 :       54132 :         m_sequences_single_hash = GetSequencesSHA256(txTo);
    1434                 :       54132 :         m_outputs_single_hash = GetOutputsSHA256(txTo);
    1435                 :             :     }
    1436         [ +  + ]:       54132 :     if (uses_bip143_segwit) {
    1437                 :       26244 :         hashPrevouts = SHA256Uint256(m_prevouts_single_hash);
    1438                 :       26244 :         hashSequence = SHA256Uint256(m_sequences_single_hash);
    1439                 :       26244 :         hashOutputs = SHA256Uint256(m_outputs_single_hash);
    1440                 :       26244 :         m_bip143_segwit_ready = true;
    1441                 :             :     }
    1442   [ +  +  +  + ]:       79622 :     if (uses_bip341_taproot && m_spent_outputs_ready) {
    1443                 :       48802 :         m_spent_amounts_single_hash = GetSpentAmountsSHA256(m_spent_outputs);
    1444                 :       48802 :         m_spent_scripts_single_hash = GetSpentScriptsSHA256(m_spent_outputs);
    1445                 :       48802 :         m_bip341_taproot_ready = true;
    1446                 :             :     }
    1447                 :       79622 : }
    1448                 :             : 
    1449                 :             : template <class T>
    1450         [ +  - ]:         213 : PrecomputedTransactionData::PrecomputedTransactionData(const T& txTo)
    1451                 :             : {
    1452         [ +  - ]:         213 :     Init(txTo, {});
    1453                 :         213 : }
    1454                 :             : 
    1455                 :             : // explicit instantiation
    1456                 :             : template void PrecomputedTransactionData::Init(const CTransaction& txTo, std::vector<CTxOut>&& spent_outputs, bool force);
    1457                 :             : template void PrecomputedTransactionData::Init(const CMutableTransaction& txTo, std::vector<CTxOut>&& spent_outputs, bool force);
    1458                 :             : template PrecomputedTransactionData::PrecomputedTransactionData(const CTransaction& txTo);
    1459                 :             : template PrecomputedTransactionData::PrecomputedTransactionData(const CMutableTransaction& txTo);
    1460                 :             : 
    1461                 :             : const HashWriter HASHER_TAPSIGHASH{TaggedHash("TapSighash")};
    1462                 :             : const HashWriter HASHER_TAPLEAF{TaggedHash("TapLeaf")};
    1463                 :             : const HashWriter HASHER_TAPBRANCH{TaggedHash("TapBranch")};
    1464                 :             : 
    1465                 :          24 : static bool HandleMissingData(MissingDataBehavior mdb)
    1466                 :             : {
    1467      [ -  +  - ]:          24 :     switch (mdb) {
    1468                 :           0 :     case MissingDataBehavior::ASSERT_FAIL:
    1469                 :           0 :         assert(!"Missing data");
    1470                 :             :         break;
    1471                 :          24 :     case MissingDataBehavior::FAIL:
    1472                 :          24 :         return false;
    1473                 :             :     }
    1474                 :           0 :     assert(!"Unknown MissingDataBehavior value");
    1475                 :             : }
    1476                 :             : 
    1477                 :             : template<typename T>
    1478                 :       11641 : bool SignatureHashSchnorr(uint256& hash_out, ScriptExecutionData& execdata, const T& tx_to, uint32_t in_pos, uint8_t hash_type, SigVersion sigversion, const PrecomputedTransactionData& cache, MissingDataBehavior mdb)
    1479                 :             : {
    1480                 :             :     uint8_t ext_flag, key_version;
    1481      [ +  -  + ]:       11641 :     switch (sigversion) {
    1482                 :             :     case SigVersion::TAPROOT:
    1483                 :             :         ext_flag = 0;
    1484                 :             :         // key_version is not used and left uninitialized.
    1485                 :             :         break;
    1486                 :        8201 :     case SigVersion::TAPSCRIPT:
    1487                 :        8201 :         ext_flag = 1;
    1488                 :             :         // key_version must be 0 for now, representing the current version of
    1489                 :             :         // 32-byte public keys in the tapscript signature opcode execution.
    1490                 :             :         // An upgradable public key version (with a size not 32-byte) may
    1491                 :             :         // request a different key_version with a new sigversion.
    1492                 :        8201 :         key_version = 0;
    1493                 :        8201 :         break;
    1494                 :           0 :     default:
    1495                 :           0 :         assert(false);
    1496                 :             :     }
    1497         [ -  + ]:       11641 :     assert(in_pos < tx_to.vin.size());
    1498   [ +  -  -  + ]:       11641 :     if (!(cache.m_bip341_taproot_ready && cache.m_spent_outputs_ready)) {
    1499                 :           0 :         return HandleMissingData(mdb);
    1500                 :             :     }
    1501                 :             : 
    1502                 :       11641 :     HashWriter ss{HASHER_TAPSIGHASH};
    1503                 :             : 
    1504                 :             :     // Epoch
    1505                 :             :     static constexpr uint8_t EPOCH = 0;
    1506                 :       11641 :     ss << EPOCH;
    1507                 :             : 
    1508                 :             :     // Hash type
    1509         [ +  + ]:       11641 :     const uint8_t output_type = (hash_type == SIGHASH_DEFAULT) ? SIGHASH_ALL : (hash_type & SIGHASH_OUTPUT_MASK); // Default (no sighash byte) is equivalent to SIGHASH_ALL
    1510                 :       10717 :     const uint8_t input_type = hash_type & SIGHASH_INPUT_MASK;
    1511   [ +  +  +  + ]:        5343 :     if (!(hash_type <= 0x03 || (hash_type >= 0x81 && hash_type <= 0x83))) return false;
    1512                 :       10717 :     ss << hash_type;
    1513                 :             : 
    1514                 :             :     // Transaction level data
    1515                 :       10717 :     ss << tx_to.version;
    1516                 :       10717 :     ss << tx_to.nLockTime;
    1517         [ +  + ]:       10717 :     if (input_type != SIGHASH_ANYONECANPAY) {
    1518                 :        9604 :         ss << cache.m_prevouts_single_hash;
    1519                 :        9604 :         ss << cache.m_spent_amounts_single_hash;
    1520                 :        9604 :         ss << cache.m_spent_scripts_single_hash;
    1521                 :        9604 :         ss << cache.m_sequences_single_hash;
    1522                 :             :     }
    1523         [ +  + ]:       10717 :     if (output_type == SIGHASH_ALL) {
    1524                 :        9350 :         ss << cache.m_outputs_single_hash;
    1525                 :             :     }
    1526                 :             : 
    1527                 :             :     // Data about the input/prevout being spent
    1528         [ -  + ]:       10717 :     assert(execdata.m_annex_init);
    1529                 :       10717 :     const bool have_annex = execdata.m_annex_present;
    1530         [ +  + ]:       19333 :     const uint8_t spend_type = (ext_flag << 1) + (have_annex ? 1 : 0); // The low bit indicates whether an annex is present.
    1531                 :       10717 :     ss << spend_type;
    1532         [ +  + ]:       10717 :     if (input_type == SIGHASH_ANYONECANPAY) {
    1533                 :        1113 :         ss << tx_to.vin[in_pos].prevout;
    1534                 :        1113 :         ss << cache.m_spent_outputs[in_pos];
    1535                 :        1113 :         ss << tx_to.vin[in_pos].nSequence;
    1536                 :             :     } else {
    1537                 :        9604 :         ss << in_pos;
    1538                 :             :     }
    1539         [ +  + ]:       10717 :     if (have_annex) {
    1540                 :        2101 :         ss << execdata.m_annex_hash;
    1541                 :             :     }
    1542                 :             : 
    1543                 :             :     // Data about the output (if only one).
    1544         [ +  + ]:       10717 :     if (output_type == SIGHASH_SINGLE) {
    1545         [ +  + ]:         408 :         if (in_pos >= tx_to.vout.size()) return false;
    1546         [ +  - ]:         398 :         if (!execdata.m_output_hash) {
    1547                 :         398 :             HashWriter sha_single_output{};
    1548                 :         398 :             sha_single_output << tx_to.vout[in_pos];
    1549         [ -  + ]:         398 :             execdata.m_output_hash = sha_single_output.GetSHA256();
    1550                 :             :         }
    1551         [ +  - ]:         398 :         ss << execdata.m_output_hash.value();
    1552                 :             :     }
    1553                 :             : 
    1554                 :             :     // Additional data for BIP 342 signatures
    1555         [ +  + ]:       10707 :     if (sigversion == SigVersion::TAPSCRIPT) {
    1556         [ -  + ]:        7720 :         assert(execdata.m_tapleaf_hash_init);
    1557                 :        7720 :         ss << execdata.m_tapleaf_hash;
    1558                 :        7720 :         ss << key_version;
    1559         [ -  + ]:        7720 :         assert(execdata.m_codeseparator_pos_init);
    1560                 :        7720 :         ss << execdata.m_codeseparator_pos;
    1561                 :             :     }
    1562                 :             : 
    1563                 :       10707 :     hash_out = ss.GetSHA256();
    1564                 :       10707 :     return true;
    1565                 :             : }
    1566                 :             : 
    1567                 :             : template <class T>
    1568                 :      207926 : uint256 SignatureHash(const CScript& scriptCode, const T& txTo, unsigned int nIn, int32_t nHashType, const CAmount& amount, SigVersion sigversion, const PrecomputedTransactionData* cache)
    1569                 :             : {
    1570         [ -  + ]:      207926 :     assert(nIn < txTo.vin.size());
    1571                 :             : 
    1572         [ +  + ]:      207926 :     if (sigversion == SigVersion::WITNESS_V0) {
    1573                 :       67134 :         uint256 hashPrevouts;
    1574                 :       67134 :         uint256 hashSequence;
    1575                 :       67134 :         uint256 hashOutputs;
    1576   [ +  +  -  + ]:       67134 :         const bool cacheready = cache && cache->m_bip143_segwit_ready;
    1577                 :             : 
    1578         [ +  + ]:       67134 :         if (!(nHashType & SIGHASH_ANYONECANPAY)) {
    1579         [ +  + ]:       55362 :             hashPrevouts = cacheready ? cache->hashPrevouts : SHA256Uint256(GetPrevoutsSHA256(txTo));
    1580                 :             :         }
    1581                 :             : 
    1582   [ +  +  +  + ]:       55362 :         if (!(nHashType & SIGHASH_ANYONECANPAY) && (nHashType & 0x1f) != SIGHASH_SINGLE && (nHashType & 0x1f) != SIGHASH_NONE) {
    1583         [ +  + ]:       48772 :             hashSequence = cacheready ? cache->hashSequence : SHA256Uint256(GetSequencesSHA256(txTo));
    1584                 :             :         }
    1585                 :             : 
    1586                 :             : 
    1587         [ +  + ]:       67134 :         if ((nHashType & 0x1f) != SIGHASH_SINGLE && (nHashType & 0x1f) != SIGHASH_NONE) {
    1588         [ +  + ]:       53794 :             hashOutputs = cacheready ? cache->hashOutputs : SHA256Uint256(GetOutputsSHA256(txTo));
    1589   [ +  +  +  + ]:       13340 :         } else if ((nHashType & 0x1f) == SIGHASH_SINGLE && nIn < txTo.vout.size()) {
    1590                 :        6288 :             HashWriter ss{};
    1591                 :        6288 :             ss << txTo.vout[nIn];
    1592                 :        6288 :             hashOutputs = ss.GetHash();
    1593                 :             :         }
    1594                 :             : 
    1595                 :       67134 :         HashWriter ss{};
    1596                 :             :         // Version
    1597                 :       67134 :         ss << txTo.version;
    1598                 :             :         // Input prevouts/nSequence (none/all, depending on flags)
    1599                 :       67134 :         ss << hashPrevouts;
    1600                 :       67134 :         ss << hashSequence;
    1601                 :             :         // The input being signed (replacing the scriptSig with scriptCode + amount)
    1602                 :             :         // The prevout may already be contained in hashPrevout, and the nSequence
    1603                 :             :         // may already be contain in hashSequence.
    1604                 :       67134 :         ss << txTo.vin[nIn].prevout;
    1605                 :       67134 :         ss << scriptCode;
    1606                 :       67134 :         ss << amount;
    1607                 :       67134 :         ss << txTo.vin[nIn].nSequence;
    1608                 :             :         // Outputs (none/one/all, depending on flags)
    1609                 :       67134 :         ss << hashOutputs;
    1610                 :             :         // Locktime
    1611                 :       67134 :         ss << txTo.nLockTime;
    1612                 :             :         // Sighash type
    1613                 :       67134 :         ss << nHashType;
    1614                 :             : 
    1615                 :       67134 :         return ss.GetHash();
    1616                 :             :     }
    1617                 :             : 
    1618                 :             :     // Check for invalid use of SIGHASH_SINGLE
    1619         [ +  + ]:      140792 :     if ((nHashType & 0x1f) == SIGHASH_SINGLE) {
    1620         [ +  + ]:        2184 :         if (nIn >= txTo.vout.size()) {
    1621                 :             :             //  nOut out of range
    1622                 :         212 :             return uint256::ONE;
    1623                 :             :         }
    1624                 :             :     }
    1625                 :             : 
    1626                 :             :     // Wrapper to serialize only the necessary parts of the transaction being signed
    1627                 :      140580 :     CTransactionSignatureSerializer<T> txTmp(txTo, scriptCode, nIn, nHashType);
    1628                 :             : 
    1629                 :             :     // Serialize and hash
    1630                 :      140580 :     HashWriter ss{};
    1631                 :      140580 :     ss << txTmp << nHashType;
    1632                 :      140580 :     return ss.GetHash();
    1633                 :             : }
    1634                 :             : 
    1635                 :             : template <class T>
    1636                 :       91349 : bool GenericTransactionSignatureChecker<T>::VerifyECDSASignature(const std::vector<unsigned char>& vchSig, const CPubKey& pubkey, const uint256& sighash) const
    1637                 :             : {
    1638                 :       91349 :     return pubkey.Verify(sighash, vchSig);
    1639                 :             : }
    1640                 :             : 
    1641                 :             : template <class T>
    1642                 :        7085 : bool GenericTransactionSignatureChecker<T>::VerifySchnorrSignature(Span<const unsigned char> sig, const XOnlyPubKey& pubkey, const uint256& sighash) const
    1643                 :             : {
    1644                 :        7085 :     return pubkey.VerifySchnorr(sighash, sig);
    1645                 :             : }
    1646                 :             : 
    1647                 :             : template <class T>
    1648                 :      143147 : bool GenericTransactionSignatureChecker<T>::CheckECDSASignature(const std::vector<unsigned char>& vchSigIn, const std::vector<unsigned char>& vchPubKey, const CScript& scriptCode, SigVersion sigversion) const
    1649                 :             : {
    1650         [ +  + ]:      143147 :     CPubKey pubkey(vchPubKey);
    1651         [ +  + ]:      143147 :     if (!pubkey.IsValid())
    1652                 :             :         return false;
    1653                 :             : 
    1654                 :             :     // Hash type is one byte tacked on to the end of the signature
    1655                 :      142820 :     std::vector<unsigned char> vchSig(vchSigIn);
    1656         [ +  + ]:      142820 :     if (vchSig.empty())
    1657                 :             :         return false;
    1658         [ +  + ]:      141703 :     int nHashType = vchSig.back();
    1659                 :      141703 :     vchSig.pop_back();
    1660                 :             : 
    1661                 :             :     // Witness sighashes need the amount.
    1662   [ +  +  -  + ]:      141703 :     if (sigversion == SigVersion::WITNESS_V0 && amount < 0) return HandleMissingData(m_mdb);
    1663                 :             : 
    1664         [ +  - ]:      141703 :     uint256 sighash = SignatureHash(scriptCode, *txTo, nIn, nHashType, amount, sigversion, this->txdata);
    1665                 :             : 
    1666   [ +  -  +  + ]:      141703 :     if (!VerifyECDSASignature(vchSig, pubkey, sighash))
    1667                 :        2172 :         return false;
    1668                 :             : 
    1669                 :             :     return true;
    1670                 :      142820 : }
    1671                 :             : 
    1672                 :             : template <class T>
    1673                 :       10720 : bool GenericTransactionSignatureChecker<T>::CheckSchnorrSignature(Span<const unsigned char> sig, Span<const unsigned char> pubkey_in, SigVersion sigversion, ScriptExecutionData& execdata, ScriptError* serror) const
    1674                 :             : {
    1675         [ -  + ]:       10720 :     assert(sigversion == SigVersion::TAPROOT || sigversion == SigVersion::TAPSCRIPT);
    1676                 :             :     // Schnorr signatures have 32-byte public keys. The caller is responsible for enforcing this.
    1677         [ -  + ]:       10720 :     assert(pubkey_in.size() == 32);
    1678                 :             :     // Note that in Tapscript evaluation, empty signatures are treated specially (invalid signature that does not
    1679                 :             :     // abort script execution). This is implemented in EvalChecksigTapscript, which won't invoke
    1680                 :             :     // CheckSchnorrSignature in that case. In other contexts, they are invalid like every other signature with
    1681                 :             :     // size different from 64 or 65.
    1682   [ +  +  +  + ]:       10720 :     if (sig.size() != 64 && sig.size() != 65) return set_error(serror, SCRIPT_ERR_SCHNORR_SIG_SIZE);
    1683                 :             : 
    1684                 :       10688 :     XOnlyPubKey pubkey{pubkey_in};
    1685                 :             : 
    1686         [ +  + ]:       10688 :     uint8_t hashtype = SIGHASH_DEFAULT;
    1687         [ +  + ]:       10688 :     if (sig.size() == 65) {
    1688                 :        5347 :         hashtype = SpanPopBack(sig);
    1689         [ +  + ]:        5347 :         if (hashtype == SIGHASH_DEFAULT) return set_error(serror, SCRIPT_ERR_SCHNORR_SIG_HASHTYPE);
    1690                 :             :     }
    1691                 :       10670 :     uint256 sighash;
    1692         [ +  + ]:       10670 :     if (!this->txdata) return HandleMissingData(m_mdb);
    1693         [ +  + ]:       10646 :     if (!SignatureHashSchnorr(sighash, execdata, *txTo, nIn, hashtype, sigversion, *this->txdata, m_mdb)) {
    1694                 :       10720 :         return set_error(serror, SCRIPT_ERR_SCHNORR_SIG_HASHTYPE);
    1695                 :             :     }
    1696         [ +  + ]:        9712 :     if (!VerifySchnorrSignature(sig, pubkey, sighash)) return set_error(serror, SCRIPT_ERR_SCHNORR_SIG);
    1697                 :             :     return true;
    1698                 :             : }
    1699                 :             : 
    1700                 :             : template <class T>
    1701                 :       11150 : bool GenericTransactionSignatureChecker<T>::CheckLockTime(const CScriptNum& nLockTime) const
    1702                 :             : {
    1703                 :             :     // There are two kinds of nLockTime: lock-by-blockheight
    1704                 :             :     // and lock-by-blocktime, distinguished by whether
    1705                 :             :     // nLockTime < LOCKTIME_THRESHOLD.
    1706                 :             :     //
    1707                 :             :     // We want to compare apples to apples, so fail the script
    1708                 :             :     // unless the type of nLockTime being tested is the same as
    1709                 :             :     // the nLockTime in the transaction.
    1710                 :             :     if (!(
    1711   [ +  +  +  +  :       11150 :         (txTo->nLockTime <  LOCKTIME_THRESHOLD && nLockTime <  LOCKTIME_THRESHOLD) ||
                   +  + ]
    1712         [ +  + ]:         422 :         (txTo->nLockTime >= LOCKTIME_THRESHOLD && nLockTime >= LOCKTIME_THRESHOLD)
    1713                 :             :     ))
    1714                 :             :         return false;
    1715                 :             : 
    1716                 :             :     // Now that we know we're comparing apples-to-apples, the
    1717                 :             :     // comparison is a simple numeric one.
    1718         [ +  + ]:       10967 :     if (nLockTime > (int64_t)txTo->nLockTime)
    1719                 :             :         return false;
    1720                 :             : 
    1721                 :             :     // Finally the nLockTime feature can be disabled in IsFinalTx()
    1722                 :             :     // and thus CHECKLOCKTIMEVERIFY bypassed if every txin has
    1723                 :             :     // been finalized by setting nSequence to maxint. The
    1724                 :             :     // transaction would be allowed into the blockchain, making
    1725                 :             :     // the opcode ineffective.
    1726                 :             :     //
    1727                 :             :     // Testing if this vin is not final is sufficient to
    1728                 :             :     // prevent this condition. Alternatively we could test all
    1729                 :             :     // inputs, but testing just this input minimizes the data
    1730                 :             :     // required to prove correct CHECKLOCKTIMEVERIFY execution.
    1731         [ +  + ]:         526 :     if (CTxIn::SEQUENCE_FINAL == txTo->vin[nIn].nSequence)
    1732                 :         100 :         return false;
    1733                 :             : 
    1734                 :             :     return true;
    1735                 :             : }
    1736                 :             : 
    1737                 :             : template <class T>
    1738                 :       11232 : bool GenericTransactionSignatureChecker<T>::CheckSequence(const CScriptNum& nSequence) const
    1739                 :             : {
    1740                 :             :     // Relative lock times are supported by comparing the passed
    1741                 :             :     // in operand to the sequence number of the input.
    1742         [ +  + ]:       11232 :     const int64_t txToSequence = (int64_t)txTo->vin[nIn].nSequence;
    1743                 :             : 
    1744                 :             :     // Fail if the transaction's version number is not set high
    1745                 :             :     // enough to trigger BIP 68 rules.
    1746         [ +  + ]:       11232 :     if (txTo->version < 2)
    1747                 :             :         return false;
    1748                 :             : 
    1749                 :             :     // Sequence numbers with their most significant bit set are not
    1750                 :             :     // consensus constrained. Testing that the transaction's sequence
    1751                 :             :     // number do not have this bit set prevents using this property
    1752                 :             :     // to get around a CHECKSEQUENCEVERIFY check.
    1753         [ +  + ]:       11077 :     if (txToSequence & CTxIn::SEQUENCE_LOCKTIME_DISABLE_FLAG)
    1754                 :             :         return false;
    1755                 :             : 
    1756                 :             :     // Mask off any bits that do not have consensus-enforced meaning
    1757                 :             :     // before doing the integer comparisons
    1758                 :       11039 :     const uint32_t nLockTimeMask = CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG | CTxIn::SEQUENCE_LOCKTIME_MASK;
    1759                 :       11039 :     const int64_t txToSequenceMasked = txToSequence & nLockTimeMask;
    1760         [ +  + ]:       11039 :     const CScriptNum nSequenceMasked = nSequence & nLockTimeMask;
    1761                 :             : 
    1762                 :             :     // There are two kinds of nSequence: lock-by-blockheight
    1763                 :             :     // and lock-by-blocktime, distinguished by whether
    1764                 :             :     // nSequenceMasked < CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG.
    1765                 :             :     //
    1766                 :             :     // We want to compare apples to apples, so fail the script
    1767                 :             :     // unless the type of nSequenceMasked being tested is the same as
    1768                 :             :     // the nSequenceMasked in the transaction.
    1769                 :             :     if (!(
    1770   [ +  +  +  + ]:       11039 :         (txToSequenceMasked <  CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG && nSequenceMasked <  CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG) ||
    1771         [ +  + ]:         387 :         (txToSequenceMasked >= CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG && nSequenceMasked >= CTxIn::SEQUENCE_LOCKTIME_TYPE_FLAG)
    1772                 :             :     )) {
    1773                 :             :         return false;
    1774                 :             :     }
    1775                 :             : 
    1776                 :             :     // Now that we know we're comparing apples-to-apples, the
    1777                 :             :     // comparison is a simple numeric one.
    1778         [ +  + ]:       10851 :     if (nSequenceMasked > txToSequenceMasked)
    1779                 :       10258 :         return false;
    1780                 :             : 
    1781                 :             :     return true;
    1782                 :             : }
    1783                 :             : 
    1784                 :             : // explicit instantiation
    1785                 :             : template class GenericTransactionSignatureChecker<CTransaction>;
    1786                 :             : template class GenericTransactionSignatureChecker<CMutableTransaction>;
    1787                 :             : 
    1788                 :      129622 : static bool ExecuteWitnessScript(const Span<const valtype>& stack_span, const CScript& exec_script, unsigned int flags, SigVersion sigversion, const BaseSignatureChecker& checker, ScriptExecutionData& execdata, ScriptError* serror)
    1789                 :             : {
    1790                 :      129622 :     std::vector<valtype> stack{stack_span.begin(), stack_span.end()};
    1791                 :             : 
    1792         [ +  + ]:      129622 :     if (sigversion == SigVersion::TAPSCRIPT) {
    1793                 :             :         // OP_SUCCESSx processing overrides everything, including stack element size limits
    1794         [ +  + ]:      141134 :         CScript::const_iterator pc = exec_script.begin();
    1795         [ +  + ]:     5357198 :         while (pc < exec_script.end()) {
    1796                 :     5289755 :             opcodetype opcode;
    1797   [ +  -  +  + ]:     5289755 :             if (!exec_script.GetOp(pc, opcode)) {
    1798                 :             :                 // Note how this condition would not be reached if an unknown OP_SUCCESSx was found
    1799         [ +  - ]:         523 :                 return set_error(serror, SCRIPT_ERR_BAD_OPCODE);
    1800                 :             :             }
    1801                 :             :             // New opcodes will be listed here. May use a different sigversion to modify existing opcodes.
    1802   [ +  -  +  + ]:     5289232 :             if (IsOpSuccess(opcode)) {
    1803         [ +  + ]:        2601 :                 if (flags & SCRIPT_VERIFY_DISCOURAGE_OP_SUCCESS) {
    1804         [ +  - ]:         620 :                     return set_error(serror, SCRIPT_ERR_DISCOURAGE_OP_SUCCESS);
    1805                 :             :                 }
    1806         [ +  - ]:        1981 :                 return set_success(serror);
    1807                 :             :             }
    1808                 :             :         }
    1809                 :             : 
    1810                 :             :         // Tapscript enforces initial stack size limits (altstack is empty here)
    1811   [ +  +  +  - ]:       67443 :         if (stack.size() > MAX_STACK_SIZE) return set_error(serror, SCRIPT_ERR_STACK_SIZE);
    1812                 :             :     }
    1813                 :             : 
    1814                 :             :     // Disallow stack item size > MAX_SCRIPT_ELEMENT_SIZE in witness stack
    1815         [ +  + ]:      378690 :     for (const valtype& elem : stack) {
    1816   [ +  +  +  - ]:      252614 :         if (elem.size() > MAX_SCRIPT_ELEMENT_SIZE) return set_error(serror, SCRIPT_ERR_PUSH_SIZE);
    1817                 :             :     }
    1818                 :             : 
    1819                 :             :     // Run the script interpreter.
    1820   [ +  -  +  + ]:      126076 :     if (!EvalScript(stack, exec_script, flags, checker, sigversion, execdata, serror)) return false;
    1821                 :             : 
    1822                 :             :     // Scripts inside witness implicitly require cleanstack behaviour
    1823   [ +  +  +  - ]:      122778 :     if (stack.size() != 1) return set_error(serror, SCRIPT_ERR_CLEANSTACK);
    1824   [ +  -  +  +  :      121922 :     if (!CastToBool(stack.back())) return set_error(serror, SCRIPT_ERR_EVAL_FALSE);
                   +  - ]
    1825                 :             :     return true;
    1826                 :      129622 : }
    1827                 :             : 
    1828                 :      115148 : uint256 ComputeTapleafHash(uint8_t leaf_version, Span<const unsigned char> script)
    1829                 :             : {
    1830                 :      115148 :     return (HashWriter{HASHER_TAPLEAF} << leaf_version << CompactSizeWriter(script.size()) << script).GetSHA256();
    1831                 :             : }
    1832                 :             : 
    1833                 :       69787 : uint256 ComputeTapbranchHash(Span<const unsigned char> a, Span<const unsigned char> b)
    1834                 :             : {
    1835                 :       69787 :     HashWriter ss_branch{HASHER_TAPBRANCH};
    1836         [ +  + ]:       69787 :     if (std::lexicographical_compare(a.begin(), a.end(), b.begin(), b.end())) {
    1837                 :       28018 :         ss_branch << a << b;
    1838                 :             :     } else {
    1839                 :       41769 :         ss_branch << b << a;
    1840                 :             :     }
    1841                 :       69787 :     return ss_branch.GetSHA256();
    1842                 :             : }
    1843                 :             : 
    1844                 :       75887 : uint256 ComputeTaprootMerkleRoot(Span<const unsigned char> control, const uint256& tapleaf_hash)
    1845                 :             : {
    1846         [ -  + ]:       75887 :     assert(control.size() >= TAPROOT_CONTROL_BASE_SIZE);
    1847         [ -  + ]:       75887 :     assert(control.size() <= TAPROOT_CONTROL_MAX_SIZE);
    1848         [ -  + ]:       75887 :     assert((control.size() - TAPROOT_CONTROL_BASE_SIZE) % TAPROOT_CONTROL_NODE_SIZE == 0);
    1849                 :             : 
    1850                 :       75887 :     const int path_len = (control.size() - TAPROOT_CONTROL_BASE_SIZE) / TAPROOT_CONTROL_NODE_SIZE;
    1851                 :       75887 :     uint256 k = tapleaf_hash;
    1852         [ +  + ]:      123348 :     for (int i = 0; i < path_len; ++i) {
    1853                 :       47461 :         Span node{Span{control}.subspan(TAPROOT_CONTROL_BASE_SIZE + TAPROOT_CONTROL_NODE_SIZE * i, TAPROOT_CONTROL_NODE_SIZE)};
    1854                 :       47461 :         k = ComputeTapbranchHash(k, node);
    1855                 :             :     }
    1856                 :       75887 :     return k;
    1857                 :             : }
    1858                 :             : 
    1859                 :       72641 : static bool VerifyTaprootCommitment(const std::vector<unsigned char>& control, const std::vector<unsigned char>& program, const uint256& tapleaf_hash)
    1860                 :             : {
    1861         [ -  + ]:       72641 :     assert(control.size() >= TAPROOT_CONTROL_BASE_SIZE);
    1862         [ -  + ]:       72641 :     assert(program.size() >= uint256::size());
    1863                 :             :     //! The internal pubkey (x-only, so no Y coordinate parity).
    1864                 :       72641 :     const XOnlyPubKey p{Span{control}.subspan(1, TAPROOT_CONTROL_BASE_SIZE - 1)};
    1865                 :             :     //! The output pubkey (taken from the scriptPubKey).
    1866                 :       72641 :     const XOnlyPubKey q{program};
    1867                 :             :     // Compute the Merkle root from the leaf and the provided path.
    1868                 :       72641 :     const uint256 merkle_root = ComputeTaprootMerkleRoot(control, tapleaf_hash);
    1869                 :             :     // Verify that the output pubkey matches the tweaked internal pubkey, after correcting for parity.
    1870                 :       72641 :     return q.CheckTapTweak(p, merkle_root, control[0] & 1);
    1871                 :             : }
    1872                 :             : 
    1873                 :      196049 : static bool VerifyWitnessProgram(const CScriptWitness& witness, int witversion, const std::vector<unsigned char>& program, unsigned int flags, const BaseSignatureChecker& checker, ScriptError* serror, bool is_p2sh)
    1874                 :             : {
    1875                 :      196049 :     CScript exec_script; //!< Actually executed script (last stack item in P2WSH; implied P2PKH script in P2WPKH; leaf script in P2TR)
    1876         [ +  + ]:      196049 :     Span stack{witness.stack};
    1877         [ +  + ]:      196049 :     ScriptExecutionData execdata;
    1878                 :             : 
    1879         [ +  + ]:      196049 :     if (witversion == 0) {
    1880         [ +  + ]:      112807 :         if (program.size() == WITNESS_V0_SCRIPTHASH_SIZE) {
    1881                 :             :             // BIP141 P2WSH: 32-byte witness v0 program (which encodes SHA256(script))
    1882         [ +  + ]:       12350 :             if (stack.size() == 0) {
    1883         [ +  + ]:         590 :                 return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_WITNESS_EMPTY);
    1884                 :             :             }
    1885                 :       11760 :             const valtype& script_bytes = SpanPopBack(stack);
    1886                 :       11760 :             exec_script = CScript(script_bytes.begin(), script_bytes.end());
    1887                 :       11760 :             uint256 hash_exec_script;
    1888   [ +  -  +  +  :       33662 :             CSHA256().Write(exec_script.data(), exec_script.size()).Finalize(hash_exec_script.begin());
             +  -  +  - ]
    1889         [ +  + ]:       11760 :             if (memcmp(hash_exec_script.begin(), program.data(), 32)) {
    1890         [ +  - ]:          51 :                 return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_MISMATCH);
    1891                 :             :             }
    1892         [ +  - ]:       11709 :             return ExecuteWitnessScript(stack, exec_script, flags, SigVersion::WITNESS_V0, checker, execdata, serror);
    1893         [ +  + ]:      100457 :         } else if (program.size() == WITNESS_V0_KEYHASH_SIZE) {
    1894                 :             :             // BIP141 P2WPKH: 20-byte witness v0 program (which encodes Hash160(pubkey))
    1895         [ +  + ]:      100337 :             if (stack.size() != 2) {
    1896         [ +  + ]:       52991 :                 return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_MISMATCH); // 2 items in witness
    1897                 :             :             }
    1898   [ +  -  +  -  :       47346 :             exec_script << OP_DUP << OP_HASH160 << program << OP_EQUALVERIFY << OP_CHECKSIG;
             +  -  +  - ]
    1899         [ +  - ]:       47346 :             return ExecuteWitnessScript(stack, exec_script, flags, SigVersion::WITNESS_V0, checker, execdata, serror);
    1900                 :             :         } else {
    1901         [ +  - ]:         120 :             return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_WRONG_LENGTH);
    1902                 :             :         }
    1903   [ +  +  +  +  :       83242 :     } else if (witversion == 1 && program.size() == WITNESS_V1_TAPROOT_SIZE && !is_p2sh) {
                   +  + ]
    1904                 :             :         // BIP341 Taproot: 32-byte non-P2SH witness v1 program (which encodes a P2C-tweaked pubkey)
    1905   [ -  +  -  - ]:       82478 :         if (!(flags & SCRIPT_VERIFY_TAPROOT)) return set_success(serror);
    1906   [ +  +  +  + ]:       82478 :         if (stack.size() == 0) return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_WITNESS_EMPTY);
    1907   [ +  +  +  +  :       75583 :         if (stack.size() >= 2 && !stack.back().empty() && stack.back()[0] == ANNEX_TAG) {
                   +  + ]
    1908                 :             :             // Drop annex (this is non-standard; see IsWitnessStandard)
    1909                 :         149 :             const valtype& annex = SpanPopBack(stack);
    1910   [ +  -  +  -  :         149 :             execdata.m_annex_hash = (HashWriter{} << annex).GetSHA256();
                   +  - ]
    1911                 :         149 :             execdata.m_annex_present = true;
    1912                 :             :         } else {
    1913                 :       75434 :             execdata.m_annex_present = false;
    1914                 :             :         }
    1915                 :       75583 :         execdata.m_annex_init = true;
    1916         [ +  + ]:       75583 :         if (stack.size() == 1) {
    1917                 :             :             // Key path spending (stack size is 1 after removing optional annex)
    1918   [ +  -  +  + ]:        2932 :             if (!checker.CheckSchnorrSignature(stack.front(), program, SigVersion::TAPROOT, execdata, serror)) {
    1919                 :             :                 return false; // serror is set
    1920                 :             :             }
    1921         [ +  + ]:        2381 :             return set_success(serror);
    1922                 :             :         } else {
    1923                 :             :             // Script path spending (stack size is >1 after removing optional annex)
    1924                 :       72651 :             const valtype& control = SpanPopBack(stack);
    1925                 :       72651 :             const valtype& script = SpanPopBack(stack);
    1926   [ +  +  +  +  :       72651 :             if (control.size() < TAPROOT_CONTROL_BASE_SIZE || control.size() > TAPROOT_CONTROL_MAX_SIZE || ((control.size() - TAPROOT_CONTROL_BASE_SIZE) % TAPROOT_CONTROL_NODE_SIZE) != 0) {
                   +  + ]
    1927         [ +  - ]:          10 :                 return set_error(serror, SCRIPT_ERR_TAPROOT_WRONG_CONTROL_SIZE);
    1928                 :             :             }
    1929         [ +  - ]:       72641 :             execdata.m_tapleaf_hash = ComputeTapleafHash(control[0] & TAPROOT_LEAF_MASK, script);
    1930   [ +  -  +  + ]:       72641 :             if (!VerifyTaprootCommitment(control, program, execdata.m_tapleaf_hash)) {
    1931         [ +  - ]:           8 :                 return set_error(serror, SCRIPT_ERR_WITNESS_PROGRAM_MISMATCH);
    1932                 :             :             }
    1933                 :       72633 :             execdata.m_tapleaf_hash_init = true;
    1934         [ +  + ]:       72633 :             if ((control[0] & TAPROOT_LEAF_MASK) == TAPROOT_LEAF_TAPSCRIPT) {
    1935                 :             :                 // Tapscript (leaf version 0xc0)
    1936                 :       70567 :                 exec_script = CScript(script.begin(), script.end());
    1937                 :       70567 :                 execdata.m_validation_weight_left = ::GetSerializeSize(witness.stack) + VALIDATION_WEIGHT_OFFSET;
    1938                 :       70567 :                 execdata.m_validation_weight_left_init = true;
    1939         [ +  - ]:       70567 :                 return ExecuteWitnessScript(stack, exec_script, flags, SigVersion::TAPSCRIPT, checker, execdata, serror);
    1940                 :             :             }
    1941         [ +  + ]:        2066 :             if (flags & SCRIPT_VERIFY_DISCOURAGE_UPGRADABLE_TAPROOT_VERSION) {
    1942         [ +  - ]:         465 :                 return set_error(serror, SCRIPT_ERR_DISCOURAGE_UPGRADABLE_TAPROOT_VERSION);
    1943                 :             :             }
    1944         [ +  - ]:        1601 :             return set_success(serror);
    1945                 :             :         }
    1946   [ +  +  +  -  :         764 :     } else if (!is_p2sh && CScript::IsPayToAnchor(witversion, program)) {
                   +  + ]
    1947                 :             :         return true;
    1948                 :             :     } else {
    1949         [ +  + ]:         756 :         if (flags & SCRIPT_VERIFY_DISCOURAGE_UPGRADABLE_WITNESS_PROGRAM) {
    1950         [ +  - ]:      196254 :             return set_error(serror, SCRIPT_ERR_DISCOURAGE_UPGRADABLE_WITNESS_PROGRAM);
    1951                 :             :         }
    1952                 :             :         // Other version/size/p2sh combinations return true for future softfork compatibility
    1953                 :             :         return true;
    1954                 :             :     }
    1955                 :             :     // There is intentionally no return statement here, to be able to use "control reaches end of non-void function" warnings to detect gaps in the logic above.
    1956                 :      196049 : }
    1957                 :             : 
    1958                 :      509382 : bool VerifyScript(const CScript& scriptSig, const CScript& scriptPubKey, const CScriptWitness* witness, unsigned int flags, const BaseSignatureChecker& checker, ScriptError* serror)
    1959                 :             : {
    1960   [ +  +  +  + ]:      509797 :     static const CScriptWitness emptyWitness;
    1961         [ +  + ]:      509382 :     if (witness == nullptr) {
    1962                 :       67568 :         witness = &emptyWitness;
    1963                 :             :     }
    1964                 :      509382 :     bool hadWitness = false;
    1965                 :             : 
    1966         [ +  + ]:      509382 :     set_error(serror, SCRIPT_ERR_UNKNOWN_ERROR);
    1967                 :             : 
    1968   [ +  +  +  + ]:      509382 :     if ((flags & SCRIPT_VERIFY_SIGPUSHONLY) != 0 && !scriptSig.IsPushOnly()) {
    1969         [ +  - ]:      510107 :         return set_error(serror, SCRIPT_ERR_SIG_PUSHONLY);
    1970                 :             :     }
    1971                 :             : 
    1972                 :             :     // scriptSig and scriptPubKey must be evaluated sequentially on the same stack
    1973                 :             :     // rather than being simply concatenated (see CVE-2010-5141)
    1974                 :      508657 :     std::vector<std::vector<unsigned char> > stack, stackCopy;
    1975   [ +  -  +  + ]:      508657 :     if (!EvalScript(stack, scriptSig, flags, checker, SigVersion::BASE, serror))
    1976                 :             :         // serror is set
    1977                 :             :         return false;
    1978         [ +  + ]:      507664 :     if (flags & SCRIPT_VERIFY_P2SH)
    1979         [ +  - ]:      416792 :         stackCopy = stack;
    1980   [ +  -  +  + ]:      507664 :     if (!EvalScript(stack, scriptPubKey, flags, checker, SigVersion::BASE, serror))
    1981                 :             :         // serror is set
    1982                 :             :         return false;
    1983         [ +  + ]:      378203 :     if (stack.empty())
    1984         [ +  - ]:         180 :         return set_error(serror, SCRIPT_ERR_EVAL_FALSE);
    1985   [ +  -  +  + ]:      378023 :     if (CastToBool(stack.back()) == false)
    1986         [ +  - ]:         764 :         return set_error(serror, SCRIPT_ERR_EVAL_FALSE);
    1987                 :             : 
    1988                 :             :     // Bare witness programs
    1989                 :      377259 :     int witnessversion;
    1990                 :      377259 :     std::vector<unsigned char> witnessprogram;
    1991         [ +  + ]:      377259 :     if (flags & SCRIPT_VERIFY_WITNESS) {
    1992   [ +  -  +  + ]:      277323 :         if (scriptPubKey.IsWitnessProgram(witnessversion, witnessprogram)) {
    1993                 :      190802 :             hadWitness = true;
    1994   [ +  +  +  + ]:      190804 :             if (scriptSig.size() != 0) {
    1995                 :             :                 // The scriptSig must be _exactly_ CScript(), otherwise we reintroduce malleability.
    1996         [ +  - ]:         114 :                 return set_error(serror, SCRIPT_ERR_WITNESS_MALLEATED);
    1997                 :             :             }
    1998   [ +  -  +  + ]:      190688 :             if (!VerifyWitnessProgram(*witness, witnessversion, witnessprogram, flags, checker, serror, /*is_p2sh=*/false)) {
    1999                 :             :                 return false;
    2000                 :             :             }
    2001                 :             :             // Bypass the cleanstack check at the end. The actual stack is obviously not clean
    2002                 :             :             // for witness programs.
    2003         [ +  - ]:      123597 :             stack.resize(1);
    2004                 :             :         }
    2005                 :             :     }
    2006                 :             : 
    2007                 :             :     // Additional validation for spend-to-script-hash transactions:
    2008   [ +  +  +  -  :      310054 :     if ((flags & SCRIPT_VERIFY_P2SH) && scriptPubKey.IsPayToScriptHash())
                   +  + ]
    2009                 :             :     {
    2010                 :             :         // scriptSig must be literals-only or validation fails
    2011   [ +  -  +  + ]:       39885 :         if (!scriptSig.IsPushOnly())
    2012         [ +  - ]:          12 :             return set_error(serror, SCRIPT_ERR_SIG_PUSHONLY);
    2013                 :             : 
    2014                 :             :         // Restore stack.
    2015                 :       39873 :         swap(stack, stackCopy);
    2016                 :             : 
    2017                 :             :         // stack cannot be empty here, because if it was the
    2018                 :             :         // P2SH  HASH <> EQUAL  scriptPubKey would be evaluated with
    2019                 :             :         // an empty stack and the EvalScript above would return false.
    2020         [ -  + ]:       39873 :         assert(!stack.empty());
    2021                 :             : 
    2022                 :       39873 :         const valtype& pubKeySerialized = stack.back();
    2023                 :       39873 :         CScript pubKey2(pubKeySerialized.begin(), pubKeySerialized.end());
    2024         [ +  - ]:       39873 :         popstack(stack);
    2025                 :             : 
    2026   [ +  -  +  + ]:       39873 :         if (!EvalScript(stack, pubKey2, flags, checker, SigVersion::BASE, serror))
    2027                 :             :             // serror is set
    2028                 :             :             return false;
    2029         [ +  + ]:       21901 :         if (stack.empty())
    2030         [ +  - ]:          85 :             return set_error(serror, SCRIPT_ERR_EVAL_FALSE);
    2031   [ +  -  +  + ]:       21816 :         if (!CastToBool(stack.back()))
    2032         [ +  - ]:         105 :             return set_error(serror, SCRIPT_ERR_EVAL_FALSE);
    2033                 :             : 
    2034                 :             :         // P2SH witness program
    2035         [ +  + ]:       21711 :         if (flags & SCRIPT_VERIFY_WITNESS) {
    2036   [ +  -  +  + ]:       20138 :             if (pubKey2.IsWitnessProgram(witnessversion, witnessprogram)) {
    2037                 :        5395 :                 hadWitness = true;
    2038   [ +  +  +  -  :        6677 :                 if (scriptSig != CScript() << std::vector<unsigned char>(pubKey2.begin(), pubKey2.end())) {
                   +  + ]
    2039                 :             :                     // The scriptSig must be _exactly_ a single push of the redeemScript. Otherwise we
    2040                 :             :                     // reintroduce malleability.
    2041         [ +  - ]:       19062 :                     return set_error(serror, SCRIPT_ERR_WITNESS_MALLEATED_P2SH);
    2042                 :             :                 }
    2043   [ +  -  +  + ]:        5361 :                 if (!VerifyWitnessProgram(*witness, witnessversion, witnessprogram, flags, checker, serror, /*is_p2sh=*/true)) {
    2044                 :             :                     return false;
    2045                 :             :                 }
    2046                 :             :                 // Bypass the cleanstack check at the end. The actual stack is obviously not clean
    2047                 :             :                 // for witness programs.
    2048         [ +  - ]:        4529 :                 stack.resize(1);
    2049                 :             :             }
    2050                 :             :         }
    2051                 :       39873 :     }
    2052                 :             : 
    2053                 :             :     // The CLEANSTACK check is only performed after potential P2SH evaluation,
    2054                 :             :     // as the non-P2SH evaluation of a P2SH script will obviously not result in
    2055                 :             :     // a clean stack (the P2SH inputs remain). The same holds for witness evaluation.
    2056         [ +  + ]:      291014 :     if ((flags & SCRIPT_VERIFY_CLEANSTACK) != 0) {
    2057                 :             :         // Disallow CLEANSTACK without P2SH, as otherwise a switch CLEANSTACK->P2SH+CLEANSTACK
    2058                 :             :         // would be possible, which is not a softfork (and P2SH should be one).
    2059         [ -  + ]:       92556 :         assert((flags & SCRIPT_VERIFY_P2SH) != 0);
    2060         [ -  + ]:       92556 :         assert((flags & SCRIPT_VERIFY_WITNESS) != 0);
    2061         [ +  + ]:       92556 :         if (stack.size() != 1) {
    2062         [ +  - ]:          98 :             return set_error(serror, SCRIPT_ERR_CLEANSTACK);
    2063                 :             :         }
    2064                 :             :     }
    2065                 :             : 
    2066         [ +  + ]:      290916 :     if (flags & SCRIPT_VERIFY_WITNESS) {
    2067                 :             :         // We can't check for correct unexpected witness data if P2SH was off, so require
    2068                 :             :         // that WITNESS implies P2SH. Otherwise, going from WITNESS->P2SH+WITNESS would be
    2069                 :             :         // possible, which is not a softfork.
    2070         [ -  + ]:      193593 :         assert((flags & SCRIPT_VERIFY_P2SH) != 0);
    2071   [ +  +  +  + ]:      193593 :         if (!hadWitness && !witness->IsNull()) {
    2072         [ +  - ]:          67 :             return set_error(serror, SCRIPT_ERR_WITNESS_UNEXPECTED);
    2073                 :             :         }
    2074                 :             :     }
    2075                 :             : 
    2076         [ +  + ]:      647099 :     return set_success(serror);
    2077                 :      508657 : }
    2078                 :             : 
    2079                 :      107782 : size_t static WitnessSigOps(int witversion, const std::vector<unsigned char>& witprogram, const CScriptWitness& witness)
    2080                 :             : {
    2081         [ +  + ]:      107782 :     if (witversion == 0) {
    2082         [ +  + ]:       24973 :         if (witprogram.size() == WITNESS_V0_KEYHASH_SIZE)
    2083                 :             :             return 1;
    2084                 :             : 
    2085   [ +  -  +  + ]:       10301 :         if (witprogram.size() == WITNESS_V0_SCRIPTHASH_SIZE && witness.stack.size() > 0) {
    2086                 :       10290 :             CScript subscript(witness.stack.back().begin(), witness.stack.back().end());
    2087         [ +  - ]:       10290 :             return subscript.GetSigOpCount(true);
    2088                 :       10290 :         }
    2089                 :             :     }
    2090                 :             : 
    2091                 :             :     // Future flags may be implemented here.
    2092                 :             :     return 0;
    2093                 :             : }
    2094                 :             : 
    2095                 :      145584 : size_t CountWitnessSigOps(const CScript& scriptSig, const CScript& scriptPubKey, const CScriptWitness* witness, unsigned int flags)
    2096                 :             : {
    2097   [ +  +  +  - ]:      145979 :     static const CScriptWitness witnessEmpty;
    2098                 :             : 
    2099         [ +  + ]:      145584 :     if ((flags & SCRIPT_VERIFY_WITNESS) == 0) {
    2100                 :             :         return 0;
    2101                 :             :     }
    2102         [ -  + ]:      145582 :     assert((flags & SCRIPT_VERIFY_P2SH) != 0);
    2103                 :             : 
    2104                 :      145582 :     int witnessversion;
    2105                 :      145582 :     std::vector<unsigned char> witnessprogram;
    2106   [ +  -  +  + ]:      145582 :     if (scriptPubKey.IsWitnessProgram(witnessversion, witnessprogram)) {
    2107   [ -  +  +  - ]:      104674 :         return WitnessSigOps(witnessversion, witnessprogram, witness ? *witness : witnessEmpty);
    2108                 :             :     }
    2109                 :             : 
    2110   [ +  -  +  +  :       40908 :     if (scriptPubKey.IsPayToScriptHash() && scriptSig.IsPushOnly()) {
             +  -  +  - ]
    2111         [ +  + ]:       10085 :         CScript::const_iterator pc = scriptSig.begin();
    2112                 :       10085 :         std::vector<unsigned char> data;
    2113         [ +  + ]:       27545 :         while (pc < scriptSig.end()) {
    2114                 :       17460 :             opcodetype opcode;
    2115         [ +  - ]:       17460 :             scriptSig.GetOp(pc, opcode, data);
    2116                 :             :         }
    2117                 :       10085 :         CScript subscript(data.begin(), data.end());
    2118   [ +  -  +  + ]:       10085 :         if (subscript.IsWitnessProgram(witnessversion, witnessprogram)) {
    2119   [ -  +  +  - ]:        3108 :             return WitnessSigOps(witnessversion, witnessprogram, witness ? *witness : witnessEmpty);
    2120                 :             :         }
    2121                 :       10085 :     }
    2122                 :             : 
    2123                 :             :     return 0;
    2124                 :      145582 : }
        

Generated by: LCOV version 2.0-1