De acordo com a PANews, um relatório divulgado pela empresa de segurança blockchain Zellic em 19 de abril revelou duas vulnerabilidades distintas no protocolo gTrade da Gains Network. Essas vulnerabilidades poderiam ter permitido aos traders lucrar 900% em cada negociação, independentemente do preço do token negociado. Uma das vulnerabilidades foi encontrada em uma versão inicial do Gains, mas já foi corrigida. A outra vulnerabilidade só foi descoberta em uma bifurcação do protocolo.

Em sua pesquisa, Zellic descobriu que uma das vulnerabilidades na bifurcação Gains permitia que os invasores lucrassem definindo um preço de abertura extremamente alto e um preço de stop-loss ligeiramente mais baixo. Quando o invasor coloca uma ordem muito acima do preço real e define um stop-loss próximo a esse preço, o sistema tomaria erroneamente o preço atual (afetado pela ordem) como o preço de abertura, fazendo com que a condição de stop-loss fosse acionada rapidamente. . Neste ponto, o invasor poderia executar a operação stop-loss e obter até 900% de lucro ilegal com uma margem de lucro originalmente quase zero, representando uma séria ameaça à segurança do fundo do protocolo.

A segunda vulnerabilidade descoberta por Zellic permitiu que os comerciantes obtivessem lucros anormalmente elevados em ordens de venda através de operações específicas. Quando o ponto de take-profit ou stop-loss definido pelo trader era exatamente o valor máximo do tipo uint256 no Ethereum (ou seja, 2 ^ 256-1), devido ao estouro numérico, o sistema calcularia incorretamente o lucro, permitindo ao trader obtenha até 900% de lucro, independentemente da situação real de negociação. Esta segunda vulnerabilidade de fato existia em uma versão inicial do Gains, mas já foi corrigida. A versão atual não contém esta vulnerabilidade, pois verifica ao atualizar e definir inicialmente os pontos de take-profit e stop-loss.

Zellic afirmou que sua equipe informou os desenvolvedores dos projetos fork da Gains, Gambit Trade, Holdstation Exchange e Krav Trade, sobre essas vulnerabilidades, e essas equipes de desenvolvimento garantiram que essas duas vulnerabilidades não existissem em seus protocolos. No entanto, Zellic alertou que outros forks do Gains ainda podem ter vulnerabilidades. Zellic afirmou que vários aplicativos de negociação DeFi populares são derivados do código básico da Gains Network, incluindo o já mencionado Gambit Trade e Holdstation, bem como muitos outros protocolos. Eles descobriram essa vulnerabilidade enquanto pesquisavam um fork específico, mas se recusaram a divulgar em qual fork ela foi encontrada. Zellic informou todas as versões de fork mencionadas acima sobre as duas vulnerabilidades de segurança e contatou a Crypto Security Alliance para encontrar outros protocolos que podem ser afetados por estes. vulnerabilidades.