По данным PANews, отчет, опубликованный 19 апреля компанией по безопасности блокчейнов Zellic, выявил две отдельные уязвимости в протоколе gTrade сети Gains Network. Эти уязвимости могли позволить трейдерам получать прибыль до 900% от каждой сделки, независимо от цены торгуемого токена. Одна из уязвимостей была обнаружена в ранней версии Gains, но с тех пор была исправлена. Другая уязвимость была обнаружена только в ответвлении протокола.

В своем исследовании Zellic обнаружила, что одна из уязвимостей в форке Gains позволила злоумышленникам получить прибыль, установив чрезвычайно высокую цену открытия и немного более низкую цену стоп-лосса. Когда злоумышленник разместил ордер намного выше фактической цены и установил стоп-лосс близко к этой цене, система ошибочно примет текущую цену (на которую влияет ордер) в качестве цены открытия, что приведет к быстрому срабатыванию условия стоп-лосса. . На этом этапе злоумышленник может выполнить операцию стоп-лосса и получить до 900% незаконной прибыли при изначально почти нулевой прибыли, что представляет серьезную угрозу безопасности средств протокола.

Вторая уязвимость, обнаруженная Зелликом, позволяла трейдерам получать аномально высокую прибыль от заказов на продажу посредством определенных операций. Когда установленная трейдером точка тейк-профита или стоп-лосса точно соответствовала максимальному значению типа uint256 в Ethereum (т. е. 2^256-1), из-за числового переполнения система неправильно рассчитывала прибыль, позволяя трейдеру получайте до 900% прибыли независимо от реальной торговой ситуации. Эта вторая уязвимость действительно существовала в ранней версии Gains, но с тех пор была исправлена. Текущая версия не содержит данной уязвимости, так как проверяется при обновлении и первоначальной установке точек тейк-профита и стоп-лосса.

Зеллик заявил, что ее сотрудники проинформировали разработчиков форк-проектов Гейнса Gambit Trade, Holdstation Exchange и Krav Trade об этих уязвимостях, и эти команды разработчиков обеспечили отсутствие этих двух уязвимостей в их протоколах. Однако Зеллик предупредил, что другие форки Gains все еще могут иметь уязвимости. Зеллик заявил, что несколько популярных торговых приложений DeFi основаны на базовом коде Gains Network, включая вышеупомянутые Gambit Trade и Holdstation, а также многие другие протоколы. Они обнаружили эту уязвимость при исследовании конкретного форка, но отказались раскрыть, в каком форке она была обнаружена. Зеллик проинформировал все вышеупомянутые версии форка о двух уязвимостях безопасности и связался с Crypto Security Alliance, чтобы найти другие протоколы, на которые они могут повлиять. уязвимости.