Theo PANews, một báo cáo do công ty bảo mật blockchain Zellic công bố vào ngày 19 tháng 4 đã tiết lộ hai lỗ hổng khác biệt trong giao thức gTrade của Gains Network. Những lỗ hổng này có thể cho phép các nhà giao dịch kiếm được 900% lợi nhuận trên mỗi giao dịch, bất kể giá của mã thông báo được giao dịch. Một trong những lỗ hổng đã được tìm thấy trong phiên bản đầu tiên của Gains nhưng sau đó đã được sửa. Lỗ hổng còn lại chỉ được phát hiện trong một nhánh của giao thức.

Trong nghiên cứu của mình, Zellic phát hiện ra rằng một trong những lỗ hổng trong fork Gains cho phép kẻ tấn công kiếm lợi bằng cách đặt giá mở cửa cực cao và giá dừng lỗ thấp hơn một chút. Khi kẻ tấn công đặt lệnh cao hơn nhiều so với giá thực tế và đặt mức dừng lỗ gần với mức giá này, hệ thống sẽ lấy nhầm giá hiện tại (bị ảnh hưởng bởi lệnh) làm giá mở cửa, khiến điều kiện dừng lỗ được kích hoạt nhanh chóng. . Tại thời điểm này, kẻ tấn công có thể thực hiện hoạt động dừng lỗ và thu được tới 900% lợi nhuận bất hợp pháp từ mức lợi nhuận ban đầu gần như bằng 0, gây ra mối đe dọa nghiêm trọng đối với an ninh quỹ của giao thức.

Lỗ hổng thứ hai được Zellic phát hiện cho phép các nhà giao dịch thu được lợi nhuận cao bất thường trên các lệnh bán thông qua các hoạt động cụ thể. Khi điểm chốt lãi hoặc điểm dừng lỗ do nhà giao dịch đặt chính xác là giá trị tối đa của loại uint256 trong Ethereum (tức là 2^256-1), do tràn số, hệ thống sẽ tính toán sai lợi nhuận, cho phép nhà giao dịch thực hiện đạt được lợi nhuận lên tới 900% bất kể tình hình giao dịch thực tế. Lỗ hổng thứ hai này thực sự đã tồn tại trong phiên bản đầu tiên của Gains nhưng sau đó đã được sửa. Phiên bản hiện tại không chứa lỗ hổng này vì nó kiểm tra khi cập nhật và thiết lập ban đầu các điểm chốt lời và dừng lỗ.

Zellic tuyên bố rằng nhân viên của họ đã thông báo cho các nhà phát triển dự án fork của Gains Gambit Trade, Holdstation Exchange và Krav Trade về những lỗ hổng này và các nhóm phát triển này đã đảm bảo rằng hai lỗ hổng này không tồn tại trong giao thức của họ. Tuy nhiên, Zellic cảnh báo rằng các fork khác của Gains vẫn có thể có lỗ hổng. Zellic tuyên bố rằng một số ứng dụng giao dịch DeFi phổ biến có nguồn gốc từ mã cơ bản của Gains Network, bao gồm Gambit Trade và Holdstation đã nói ở trên, cũng như nhiều giao thức khác. Họ đã phát hiện ra lỗ hổng này khi đang nghiên cứu một bản fork cụ thể nhưng từ chối tiết lộ nó được tìm thấy trong fork nào. Zellic đã thông báo cho tất cả các phiên bản fork nói trên của hai lỗ hổng bảo mật và đã liên hệ với Liên minh bảo mật tiền điện tử để tìm các giao thức khác có thể bị ảnh hưởng bởi những lỗ hổng này. những điểm yếu.