根据 PANews 报导,区块链安全公司 Zellic 4 月 19 日发布的一份报告揭示了 Gains Network 的 gTrade 协议中存在两个明显的漏洞。无论交易代币的价格如何,这些漏洞都可以让交易者在每笔交易中获利 900%。其中一个漏洞是在 Gains 的早期版本中发现的,但现已修复。另一个漏洞仅在该协定的一个分支中被发现。
Zellic 在研究中发现,Gains 分叉中的一个漏洞允许攻击者透过设定极高的开盘价和略低的停损价来获利。当攻击者下单远高于实际价格并设定接近该价格的停损时,系统会错误地将当前价格(受订单影响)作为开仓价,导致停损条件快速触发。此时,攻击者可以执行停损操作,从原本几乎为零的利润率中获取高达900%的非法利润,对协议的资金安全构成严重威胁。
Zellic发现的第二个漏洞允许交易者透过特定操作在卖单上获得异常高的利润。当交易者设定的止盈或停损点恰好是以太坊中uint256类型的最大值(即2^256-1)时,由于数值溢出,系统会错误地计算利润,从而使交易者无论实际交易情况如何,均可获得高达900%的利润。第二个漏洞确实存在于 Gains 的早期版本中,但现已修复。当前版本不包含此漏洞,因为它会在更新和初始设定止盈和止损点时进行检查。
Zellic表示,其工作人员已将这些漏洞告知Gains的分叉项目Gambit Trade、Holdstation Exchange和Krav Trade的开发者,并且这些开发团队已确保他们的协议中不存在这两个漏洞。然而,泽利克警告称,Gains 的其他分叉可能仍然存在漏洞。 Zellic 声称,几个流行的 DeFi 交易应用程式都源自 Gains Network 的基本程式码,包括前面提到的 Gambit Trade 和 Holdstation,以及许多其他协议。他们在研究特定分叉时发现了此漏洞,但拒绝透露是在哪个分叉中发现的。影响的其他协议漏洞。
