Як повідомляє PANews, звіт, опублікований компанією з безпеки блокчейнів Zellic 19 квітня, виявив дві різні вразливості в протоколі gTrade Gains Network. Ці вразливості могли дозволити трейдерам отримувати прибуток на 900% від кожної угоди, незалежно від ціни торгового токена. Одну з уразливостей було знайдено в ранній версії Gains, але згодом її виправлено. Інша вразливість була виявлена ​​лише у розгалуженні протоколу.

У своєму дослідженні Zellic виявив, що одна з вразливостей у форку Gains дозволила зловмисникам отримати прибуток, встановивши надзвичайно високу ціну відкриття та трохи нижчу ціну стоп-лосс. Коли зловмисник розмістив ордер набагато вище фактичної ціни та встановив стоп-лосс, близький до цієї ціни, система помилково прийме поточну ціну (на яку впливає ордер) як ціну відкриття, що призведе до швидкого запуску умови стоп-лосс . На цьому етапі зловмисник може виконати операцію зупинки збитків і отримати до 900% незаконного прибутку від початково майже нульової норми прибутку, створюючи серйозну загрозу безпеці фонду протоколу.

Друга вразливість, виявлена ​​Зелліком, дозволила трейдерам отримувати аномально високі прибутки від ордерів на продаж за допомогою певних операцій. Коли встановлена ​​трейдером точка тейк-профіту або стоп-лоссу дорівнювала максимальному значенню типу uint256 в Ethereum (тобто 2^256-1), через числове переповнення система неправильно обчислювала прибуток, дозволяючи трейдеру отримати до 900% прибутку незалежно від реальної торгової ситуації. Ця друга вразливість справді існувала в ранній версії Gains, але згодом була виправлена. Поточна версія не містить цієї вразливості, оскільки вона перевіряє під час оновлення та початкового встановлення точок тейк-профіту та стоп-лоссу.

Zellic заявив, що його співробітники повідомили розробників форк-проектів Gains Gambit Trade, Holdstation Exchange і Krav Trade про ці вразливості, і ці групи розробників переконалися, що ці дві вразливості не існують у їхніх протоколах. Однак Зеллік попередив, що інші форки Gains все ще можуть мати вразливості. Зеллік стверджував, що кілька популярних торгових програм DeFi походять від базового коду Gains Network, включаючи вищезгадані Gambit Trade і Holdstation, а також багато інших протоколів. Вони виявили цю вразливість, досліджуючи певний форк, але відмовилися розголошувати, у якому саме форку її було виявлено. Zellic повідомила всі вищезазначені версії форку про дві вразливості безпеки та зв’язалася з Crypto Security Alliance, щоб знайти інші протоколи, які можуть постраждати від цих вразливостей. уразливості.