Podle PANews zpráva zveřejněná blockchainovou bezpečnostní společností Zellic 19. dubna odhalila dvě odlišné zranitelnosti v protokolu gTrade Gains Network. Tyto zranitelnosti mohly umožnit obchodníkům profitovat o 900 % na každém obchodu, bez ohledu na cenu obchodovaného tokenu. Jedna z chyb zabezpečení byla nalezena v rané verzi Gains, ale od té doby byla opravena. Další zranitelnost byla objevena pouze ve větvi protokolu.

Ve svém výzkumu Zellic zjistil, že jedna ze zranitelností ve forku Gains umožňuje útočníkům profitovat nastavením extrémně vysoké otevírací ceny a mírně nižší ceny stop-loss. Když útočník zadal objednávku vysoko nad skutečnou cenou a nastavil stop-loss blízko této ceně, systém by chybně vzal aktuální cenu (ovlivněnou pokynem) jako otevírací cenu, což způsobilo rychlé spuštění stop-loss podmínky. . V tomto okamžiku by útočník mohl provést stop-loss operaci a získat až 900% nelegálního zisku z původně téměř nulové ziskové marže, což představuje vážnou hrozbu pro zabezpečení fondu protokolu.

Druhá zranitelnost, kterou Zellic objevil, umožnila obchodníkům získat abnormálně vysoké zisky z prodejních příkazů prostřednictvím specifických operací. Pokud by obchodníkův bod take-profit nebo stop-loss byl přesně maximální hodnotou typu uint256 v Ethereu (tj. 2^256-1), v důsledku numerického přetečení by systém nesprávně vypočítal zisk, což by obchodníkovi umožnilo získat až 900% zisk bez ohledu na aktuální obchodní situaci. Tato druhá chyba zabezpečení skutečně existovala v rané verzi Gains, ale od té doby byla opravena. Aktuální verze tuto chybu zabezpečení neobsahuje, protože kontroluje při aktualizaci a prvotním nastavení bodů take-profit a stop-loss.

Zellic uvedl, že jeho zaměstnanci informovali vývojáře forkových projektů Gains Gambit Trade, Holdstation Exchange a Krav Trade o těchto zranitelnostech a tyto vývojové týmy zajistily, že tyto dvě zranitelnosti v jejich protokolech neexistují. Zellic však varoval, že další forky Gains mohou mít stále zranitelnosti. Zellic tvrdil, že několik populárních obchodních aplikací DeFi je odvozeno od základního kódu Gains Network, včetně výše zmíněného Gambit Trade a Holdstation, stejně jako mnoha dalších protokolů. Tuto chybu zabezpečení objevili při zkoumání konkrétního forku, ale odmítli prozradit, ve kterém forku byla nalezena. Zellic informoval všechny výše uvedené verze forku o dvou bezpečnostních zranitelnostech a kontaktoval Crypto Security Alliance, aby našel další protokoly, které mohou být těmito chybami ovlivněny. zranitelnosti.