PANews 5月10日消息,根據Cointelegraph報道,根據區塊鏈安全公司Zellic於4月19日發布的報告,Gains Network的槓桿交易協議「gTrade」分叉中存在的兩個不同的漏洞本可以讓交易者在每次交易中獲利900%,無論所交易代幣的價格為何。其中一個漏洞存在於Gains的早期版本中,但隨後已被修復。而另一個漏洞僅在協議的一個分叉中被發現。
Zellic在其研究的Gains分叉版本中發現,其中一個漏洞允許攻擊者透過設定超高的開盤價和略低的停損價來獲利。當攻擊者以遠超實際價格下單並設定接近此價格的止損時,一旦訂單執行,系統會誤將當前價格(受訂單影響後)作為開盤價,使得止損條件迅速觸發。此時,攻擊者執行停損操作,就能從原本幾乎為零的利潤空間中獲得高達900%的非法利潤,嚴重威脅了協議的資金安全。此外,Zellic發現的第二的漏洞允許交易者透過特定操作在賣出訂單上獲得異常高的利潤。當交易者設定的止盈或停損點恰好為以太坊中uint256類型的最大值(即2^256-1)時,由於數值溢出,系統會錯誤地計算利潤,導致交易者無論實際交易情況如何都能獲得高達900%的利潤。第二個漏洞確實存在於Gains的早期版本中,但隨後被修復了。目前版本不包含這個漏洞,因為它在更新止盈和止損點時以及首次設定時都會進行檢查。
據Zellic稱,其員工已向Gains的分叉項目Gambit Trade、Holdstation Exchange和Krav Trade的開發人員通報了這一漏洞,這些開發團隊已確保他們的協議中不存在這兩個漏洞。然而,Zellic警告說,其他Gains的分叉可能仍然存在漏洞。 Zellic聲稱,幾個流行的DeFi交易應用程式都是從Gains Network的基礎代碼派生出來的,包括前面提到的Gambit Trade和Holdstation,以及許多其他協議。他們在研究一個特定的分叉時發現了這個漏洞,但拒絕透露是在哪個分叉中發現的。 Zellic已將兩個安全漏洞告知了上述所有分叉版本,並聯繫了Crypto Security Alliance,以尋找可能受到這些漏洞影響的其他協定。
