Según PANews, un informe publicado por la empresa de seguridad blockchain Zellic el 19 de abril reveló dos vulnerabilidades distintas en el protocolo gTrade de Gains Network. Estas vulnerabilidades podrían haber permitido a los comerciantes obtener ganancias del 900% en cada operación, independientemente del precio del token negociado. Una de las vulnerabilidades se encontró en una versión anterior de Gains, pero desde entonces se ha solucionado. La otra vulnerabilidad sólo se descubrió en una bifurcación del protocolo.
En su investigación, Zellic descubrió que una de las vulnerabilidades en la bifurcación Gains permitía a los atacantes obtener ganancias al establecer un precio de apertura extremadamente alto y un precio de límite de pérdidas ligeramente más bajo. Cuando el atacante colocaba una orden muy por encima del precio real y establecía un límite de pérdidas cercano a este precio, el sistema tomaba por error el precio actual (afectado por la orden) como precio de apertura, lo que provocaba que la condición de límite de pérdidas se activara rápidamente. . En este punto, el atacante podría ejecutar la operación de limitación de pérdidas y obtener hasta un 900% de ganancias ilegales de un margen de ganancias originalmente casi nulo, lo que representa una seria amenaza para la seguridad de los fondos del protocolo.
La segunda vulnerabilidad descubierta por Zellic permitió a los operadores obtener ganancias anormalmente altas en órdenes de venta a través de operaciones específicas. Cuando el punto de obtención de ganancias o límite de pérdidas establecido por el comerciante era exactamente el valor máximo del tipo uint256 en Ethereum (es decir, 2 ^ 256-1), debido al desbordamiento numérico, el sistema calculaba incorrectamente la ganancia, lo que permitía al comerciante Obtenga hasta un 900% de beneficio independientemente de la situación comercial real. De hecho, esta segunda vulnerabilidad existía en una versión anterior de Gains, pero desde entonces se ha solucionado. La versión actual no contiene esta vulnerabilidad, ya que la comprueba al actualizar y establecer inicialmente los puntos de obtención de beneficios y stop-loss.
Zellic declaró que su personal había informado a los desarrolladores de los proyectos bifurcados de Gains, Gambit Trade, Holdstation Exchange y Krav Trade, sobre estas vulnerabilidades, y estos equipos de desarrollo se han asegurado de que estas dos vulnerabilidades no existan en sus protocolos. Sin embargo, Zellic advirtió que otras bifurcaciones de Gains aún pueden tener vulnerabilidades. Zellic afirmó que varias aplicaciones comerciales populares de DeFi se derivan del código básico de Gains Network, incluidos Gambit Trade y Holdstation antes mencionados, así como muchos otros protocolos. Descubrieron esta vulnerabilidad mientras investigaban una bifurcación específica, pero se negaron a revelar en qué bifurcación se encontró. Zellic ha informado a todas las versiones de bifurcación antes mencionadas de las dos vulnerabilidades de seguridad y se ha puesto en contacto con Crypto Security Alliance para encontrar otros protocolos que puedan verse afectados por estas. vulnerabilidades.
