Potrivit PANews, un raport lansat de compania de securitate blockchain Zellic pe 19 aprilie a dezvăluit două vulnerabilități distincte în protocolul gTrade al Gains Network. Aceste vulnerabilități ar fi putut permite comercianților să profite cu 900% la fiecare tranzacție, indiferent de prețul jetonului tranzacționat. Una dintre vulnerabilități a fost găsită într-o versiune inițială a Gains, dar de atunci a fost remediată. Cealaltă vulnerabilitate a fost descoperită doar într-o furcă a protocolului.
În cercetarea sa, Zellic a descoperit că una dintre vulnerabilitățile din Gains fork le-a permis atacatorilor să profite prin stabilirea unui preț de deschidere extrem de ridicat și un preț stop-loss ușor mai mic. Atunci când atacatorul a plasat o comandă mult peste prețul real și a stabilit un stop-loss aproape de acest preț, sistemul va lua în mod eronat prețul curent (afectat de ordin) drept preț de deschidere, determinând declanșarea rapidă a condiției de stop-loss. . În acest moment, atacatorul ar putea executa operațiunea de stop-loss și poate obține până la 900% profit ilegal dintr-o marjă de profit inițială aproape zero, reprezentând o amenințare serioasă la adresa securității fondului protocolului.
A doua vulnerabilitate descoperită de Zellic le-a permis comercianților să obțină profituri anormal de mari pe ordinele de vânzare prin operațiuni specifice. Atunci când punctul de take-profit sau stop-loss stabilit de comerciant a fost exact valoarea maximă a tipului uint256 în Ethereum (adică, 2^256-1), din cauza depășirii numerice, sistemul ar calcula incorect profitul, permițând comerciantului să obțineți până la 900% profit, indiferent de situația reală de tranzacționare. Această a doua vulnerabilitate a existat într-adevăr într-o versiune timpurie a Gains, dar de atunci a fost remediată. Versiunea actuală nu conține această vulnerabilitate, deoarece verifică la actualizarea și setarea inițială a punctelor take-profit și stop-loss.
Zellic a declarat că personalul său a informat dezvoltatorii proiectelor fork ale Gains Gambit Trade, Holdstation Exchange și Krav Trade despre aceste vulnerabilități, iar aceste echipe de dezvoltare s-au asigurat că aceste două vulnerabilități nu există în protocoalele lor. Cu toate acestea, Zellic a avertizat că alte fork-uri ale Gains pot avea în continuare vulnerabilități. Zellic a susținut că mai multe aplicații populare de tranzacționare DeFi sunt derivate din codul de bază al Gains Network, inclusiv Gambit Trade și Holdstation menționate mai sus, precum și multe alte protocoale. Ei au descoperit această vulnerabilitate în timp ce cercetau o anumită furcă, dar au refuzat să dezvăluie în ce furcă a fost găsită. Zellic a informat toate versiunile de furcă menționate mai sus ale celor două vulnerabilități de securitate și a contactat Crypto Security Alliance pentru a găsi alte protocoale care ar putea fi afectate de acestea. vulnerabilități.