區塊鏈安全公司Zellic 在Gains Network 槓桿交易協議的一個分叉中發現了兩個嚴重錯誤,該錯誤可以讓交易者在每筆交易中獲利900%,無論交易代幣的價格如何。
4 月19 日報告的調查結果強調了與流行的去中心化金融(DeFi) 協議分叉相關的潛在風險以及徹底安全審計的重要性。
總長DR
Gains Network 槓桿交易協議的一個分支中的兩個錯誤可能會讓交易者在每筆交易中獲利900%,無論交易的代幣價格如何。僅在Gains 分叉中發現的一個錯誤,允許用戶在買入訂單上設定高於開盤價的止損,自動從任何交易中獲利,並可能耗盡協議的所有資金。第二個錯誤是在Gains 的早期版本中發現的,但後來得到了修補,該錯誤允許交易者透過輸入特定值(2^256-1) 作為止盈或止損,從而在賣單上獲利900 %,從而導致溢出利潤計算。 Zellic 向Gains 分叉Gambit Trade、Holdstation交易所和Krav Trade 的開發人員通報了這些漏洞,這些團隊已確保他們的協議不受影響。然而,其他Gains 分叉可能仍然容易受到攻擊。在另一起事件中,一名交易員搶先了Gains Network 在幣安的上市,在上市前不到30 分鐘購買了價值208,000 美元的GNS 代幣,並獲利106,000 美元。
Gains Network 是Polygon 和Arbitrum 上的DeFi 產品生態系統,其槓桿交易應用程式「gTrade」自2023 年5 月推出以來促進了超過250 億美元的衍生性商品交易量。
幾款受歡迎的DeFi 交易應用程式均源自Gains Network 的基礎代碼,包括Gambit Trade、Holdstation交易所和Krav Trade。
第一個錯誤僅在Gains Network 的一個分支中發現,它允許用戶在買入訂單上設定高於開盤價的止損,自動從任何交易中獲利。
例如,如果比特幣的價格為63,000 美元,用戶輸入62,000 美元作為開倉價,64,000 美元作為止損,則當價格跌至62,000 美元時訂單就會被成交。然而,價格將立即低於止損,觸發自動退出。用戶設定的止損將被記錄為當前價格,從而產生2,000 美元的利潤,儘管正確的利潤應該約為0 美元。這種漏洞可能會讓攻擊者從每筆交易中獲利,並最終耗盡協議的所有資金。
儘管該協議包含防止這種漏洞的檢查,但澤利克發現,如果用戶輸入極高的開盤價,則可以繞過該協議。
攻擊者可以下訂單以任意高的價格購買代幣,在其下方設定止損,然後執行自己的訂單,導致openPrice 在考慮交易的價格影響後更改為當前價格。
然後交易將執行並開放,攻擊者可以透過執行止損來平倉,並從收盤價與停損價格之間的差額中獲利。此漏洞可能會為攻擊者帶來900% 的利潤。
第二個錯誤是在Gains Network 的早期版本中發現的,但後來得到了修補,該錯誤允許交易者透過輸入特定值(2^256-1) 作為止盈或止損,在賣單上獲利900 %。
該值是以太坊中正數的最大值,會導致利潤計算溢位。只要攻擊者使用大於9 倍的槓桿,他們就可以從這個漏洞中獲利900%。
Zellic 向Gains 分叉Gambit Trade、Holdstation交易所和Krav Trade 的開發人員通報了這些漏洞,這些團隊已確保他們的協議不受影響。
然而,該安全公司警告稱,其他Gains 分叉可能仍包含這些錯誤,使用戶的資金面臨耗盡的風險。
在另一起事件中,一名交易員搶先了Gains Network 在幣安的上市,在上市前不到30 分鐘購買了價值208,000 美元的GNS 代幣,並獲利106,000 美元。
這起事件凸顯了加密貨幣市場內線交易和搶先交易的可能性,特別是在交易所上市方面。
安全公司發現網路分叉漏洞讓每筆交易都能獲得900% 的利潤,而該貼文首先出現在Blockonomi 上。
資訊來源:由0x資訊編譯自BLOCKONOMI。版權歸原作者所有,未經許可,不得轉載