Menurut PANews, sebuah laporan yang dirilis oleh perusahaan keamanan blockchain Zellic pada 19 April mengungkapkan dua kerentanan berbeda dalam protokol gTrade dari Gains Network. Kerentanan ini memungkinkan pedagang memperoleh keuntungan sebesar 900% pada setiap perdagangan, berapa pun harga token yang diperdagangkan. Salah satu kerentanan ditemukan di versi awal Gains tetapi telah diperbaiki. Kerentanan lainnya hanya ditemukan di cabang protokol.

Dalam penelitiannya, Zellic menemukan bahwa salah satu kerentanan di fork Gains memungkinkan penyerang mendapatkan keuntungan dengan menetapkan harga pembukaan yang sangat tinggi dan harga stop-loss yang sedikit lebih rendah. Ketika penyerang menempatkan order jauh di atas harga sebenarnya dan menetapkan stop-loss dekat dengan harga ini, sistem akan secara keliru mengambil harga saat ini (dipengaruhi oleh order) sebagai harga pembukaan, sehingga menyebabkan kondisi stop-loss terpicu dengan cepat. . Pada titik ini, penyerang dapat menjalankan operasi stop-loss dan memperoleh hingga 900% keuntungan ilegal dari margin keuntungan yang awalnya hampir nol, sehingga menimbulkan ancaman serius terhadap keamanan dana protokol.

Kerentanan kedua yang ditemukan oleh Zellic memungkinkan pedagang memperoleh keuntungan yang sangat tinggi dari pesanan jual melalui operasi tertentu. Ketika titik take-profit atau stop-loss yang ditetapkan pedagang persis dengan nilai maksimum tipe uint256 di Ethereum (yaitu, 2^256-1), karena luapan numerik, sistem akan salah menghitung keuntungan, sehingga memungkinkan pedagang untuk dapatkan keuntungan hingga 900% terlepas dari situasi perdagangan sebenarnya. Kerentanan kedua ini memang ada di versi awal Gains tetapi telah diperbaiki. Versi saat ini tidak mengandung kerentanan ini karena memeriksa kapan memperbarui dan awalnya menetapkan titik take-profit dan stop-loss.

Zellic menyatakan bahwa stafnya telah memberi tahu para pengembang proyek fork Gains, Gambit Trade, Holdstation Exchange, dan Krav Trade tentang kerentanan ini, dan tim pengembangan ini telah memastikan bahwa kedua kerentanan ini tidak ada dalam protokol mereka. Namun, Zellic memperingatkan bahwa cabang Gains lainnya mungkin masih memiliki kerentanan. Zellic mengklaim bahwa beberapa aplikasi perdagangan DeFi populer berasal dari kode dasar Gains Network, termasuk Gambit Trade dan Holdstation yang disebutkan di atas, serta banyak protokol lainnya. Mereka menemukan kerentanan ini saat meneliti fork tertentu tetapi menolak untuk mengungkapkan di fork mana kerentanan tersebut ditemukan. Zellic telah menginformasikan semua versi fork yang disebutkan di atas mengenai dua kerentanan keamanan tersebut dan telah menghubungi Crypto Security Alliance untuk menemukan protokol lain yang mungkin terpengaruh oleh kerentanan ini. kerentanan.