PANews 5月10日消息,据Cointelegraph报道,根据区块链安全公司Zellic于4月19日发布的报告,Gains Network的杠杆交易协议“gTrade”分叉中存在的两个不同的漏洞本可以让交易者在每次交易中获利900%,无论所交易代币的价格如何。其中一个漏洞存在于Gains的早期版本中,但随后已被修复。而另一个漏洞仅在协议的一个分叉中被发现。
Zellic在其研究的Gains分叉版本中发现,其中一个漏洞允许攻击者通过设定超高的开盘价和略低的止损价来获利。当攻击者以远超实际价格下单并设置接近此价格的止损时,一旦订单执行,系统会误将当前价格(受订单影响后)作为开盘价,使得止损条件迅速触发。此时,攻击者执行止损操作,就能从原本几乎为零的利润空间中获得高达900%的非法利润,严重威胁了协议的资金安全。此外,Zellic发现的第二的漏洞允许交易者通过特定操作在卖出订单上获得异常高的利润。当交易者设置的止盈或止损点恰好为以太坊中uint256类型的最大值(即2^256-1)时,由于数值溢出,系统会错误地计算利润,导致交易者无论实际交易情况如何都能获得高达900%的利润。第二个漏洞确实存在于Gains的早期版本中,但随后被修复了。当前版本不包含这个漏洞,因为它在更新止盈和止损点时以及首次设置时都会进行检查。
据Zellic称,其员工已向Gains的分叉项目Gambit Trade、Holdstation Exchange和Krav Trade的开发人员通报了这一漏洞,这些开发团队已确保他们的协议中不存在这两个漏洞。然而,Zellic警告说,其他Gains的分叉可能仍然存在漏洞。Zellic声称,几个流行的DeFi交易应用程序都是从Gains Network的基础代码派生出来的,包括前面提到的Gambit Trade和Holdstation,以及许多其他协议。他们在研究一个特定的分叉时发现了这个漏洞,但拒绝透露是在哪个分叉中发现的。Zellic已将两个安全漏洞告知了上述所有分叉版本,并联系了Crypto Security Alliance,以寻找可能受到这些漏洞影响的其他协议。