Laut PANews enthüllte ein am 19. April veröffentlichter Bericht des Blockchain-Sicherheitsunternehmens Zellic zwei unterschiedliche Schwachstellen im gTrade-Protokoll von Gains Network. Diese Schwachstellen hätten es Händlern ermöglichen können, bei jedem Handel einen Gewinn von 900 % zu erzielen, unabhängig vom Preis des gehandelten Tokens. Eine der Schwachstellen wurde in einer frühen Version von Gains gefunden, wurde aber inzwischen behoben. Die andere Schwachstelle wurde erst in einem Fork des Protokolls entdeckt.

Bei seinen Untersuchungen stellte Zellic fest, dass eine der Schwachstellen im Gains-Fork es Angreifern ermöglichte, Gewinne zu erzielen, indem sie einen extrem hohen Eröffnungspreis und einen etwas niedrigeren Stop-Loss-Preis festlegten. Wenn der Angreifer eine Bestellung weit über dem tatsächlichen Preis aufgab und einen Stop-Loss nahe diesem Preis festlegte, nahm das System fälschlicherweise den aktuellen Preis (der von der Bestellung betroffen war) als Eröffnungspreis an, wodurch die Stop-Loss-Bedingung schnell ausgelöst wurde. An diesem Punkt konnte der Angreifer die Stop-Loss-Operation ausführen und bis zu 900 % illegalen Gewinn aus einer ursprünglich fast null Gewinnspanne erzielen, was eine ernsthafte Bedrohung für die Fondssicherheit des Protokolls darstellte.

Die zweite von Zellic entdeckte Schwachstelle ermöglichte es Händlern, durch bestimmte Operationen ungewöhnlich hohe Gewinne bei Verkaufsaufträgen zu erzielen. Wenn der vom Händler festgelegte Take-Profit- oder Stop-Loss-Punkt genau dem Maximalwert des Typs uint256 in Ethereum entsprach (d. h. 2^256-1), berechnete das System aufgrund eines numerischen Überlaufs den Gewinn falsch, wodurch der Händler unabhängig von der tatsächlichen Handelssituation bis zu 900 % Gewinn erzielen konnte. Diese zweite Schwachstelle bestand tatsächlich in einer frühen Version von Gains, wurde aber inzwischen behoben. Die aktuelle Version enthält diese Schwachstelle nicht, da sie beim Aktualisieren und anfänglichen Festlegen der Take-Profit- und Stop-Loss-Punkte überprüft wird.

Zellic erklärte, dass seine Mitarbeiter die Entwickler der Fork-Projekte Gambit Trade, Holdstation Exchange und Krav Trade von Gains über diese Schwachstellen informiert hätten und diese Entwicklungsteams sichergestellt hätten, dass diese beiden Schwachstellen in ihren Protokollen nicht vorhanden seien. Zellic warnte jedoch, dass andere Forks von Gains immer noch Schwachstellen aufweisen könnten. Zellic behauptete, dass mehrere beliebte DeFi-Handelsanwendungen vom Basiscode von Gains Network abgeleitet sind, darunter die bereits erwähnten Gambit Trade und Holdstation sowie viele andere Protokolle. Sie entdeckten diese Schwachstelle bei der Untersuchung eines bestimmten Forks, weigerten sich jedoch, bekannt zu geben, in welchem ​​Fork sie gefunden wurde. Zellic hat alle oben genannten Fork-Versionen über die beiden Sicherheitslücken informiert und die Crypto Security Alliance kontaktiert, um andere Protokolle zu finden, die von diesen Schwachstellen betroffen sein könnten.