Secondo PANews, un rapporto pubblicato dalla società di sicurezza blockchain Zellic il 19 aprile ha rivelato due distinte vulnerabilità nel protocollo gTrade di Gains Network. Queste vulnerabilità avrebbero potuto consentire ai trader di trarre profitto del 900% su ogni operazione, indipendentemente dal prezzo del token scambiato. Una delle vulnerabilità è stata rilevata in una prima versione di Gains ma da allora è stata risolta. L'altra vulnerabilità è stata scoperta solo in un fork del protocollo.
Nella sua ricerca, Zellic ha scoperto che una delle vulnerabilità nel fork Gains permetteva agli aggressori di trarre profitto impostando un prezzo di apertura estremamente alto e un prezzo di stop-loss leggermente inferiore. Quando l'aggressore effettua un ordine molto al di sopra del prezzo effettivo e imposta uno stop-loss vicino a questo prezzo, il sistema prende erroneamente il prezzo corrente (influenzato dall'ordine) come prezzo di apertura, provocando l'attivazione rapida della condizione di stop-loss. . A questo punto, l'aggressore potrebbe eseguire l'operazione stop-loss e ottenere fino al 900% di profitti illegali da un margine di profitto originariamente quasi pari a zero, ponendo una seria minaccia alla sicurezza dei fondi del protocollo.
La seconda vulnerabilità scoperta da Zellic ha consentito ai trader di ottenere profitti anormalmente elevati sugli ordini di vendita attraverso operazioni specifiche. Quando il punto di take-profit o stop-loss impostato dal trader era esattamente il valore massimo del tipo uint256 in Ethereum (ovvero, 2^256-1), a causa dell'overflow numerico, il sistema calcolava erroneamente il profitto, consentendo al trader di guadagnare fino al 900% di profitto indipendentemente dalla situazione commerciale reale. Questa seconda vulnerabilità esisteva effettivamente in una prima versione di Gains, ma da allora è stata risolta. La versione attuale non contiene questa vulnerabilità poiché controlla durante l'aggiornamento e imposta inizialmente i punti di take profit e stop loss.
Zellic ha dichiarato che il suo staff ha informato gli sviluppatori dei progetti fork di Gains Gambit Trade, Holdstation Exchange e Krav Trade di queste vulnerabilità, e questi team di sviluppo hanno assicurato che queste due vulnerabilità non esistono nei loro protocolli. Tuttavia, Zellic ha avvertito che altri fork di Gains potrebbero presentare ancora vulnerabilità. Zellic ha affermato che diverse popolari applicazioni di trading DeFi derivano dal codice di base di Gains Network, inclusi i già citati Gambit Trade e Holdstation, nonché molti altri protocolli. Hanno scoperto questa vulnerabilità durante la ricerca di un fork specifico ma si sono rifiutati di rivelare in quale fork è stata trovata. Zellic ha informato tutte le versioni del fork sopra menzionate delle due vulnerabilità di sicurezza e ha contattato la Crypto Security Alliance per trovare altri protocolli che potrebbero essere interessati da questi vulnerabilità.