I bug di Network Trading Protocol avrebbero potuto consentire un profitto del 900% sulle operazioni
Summary:
Due vulnerabilità significative in un protocollo di trading Gains Network avrebbero potuto consentire ai trader di ottenere un profitto del 900% su ogni transazione, indipendentemente dal prezzo del token. Un bug è stato corretto in una versione precedente di Gains, mentre l'altro è stato trovato solo in un protocollo derivato. La società di sicurezza blockchain Zellic ha allertato i team di sviluppo sotto i derivati di Gains come Gambit Trade, Holdstation Exchange e Krav Trade, assicurandosi che i bug non esistessero nei loro protocolli. Tuttavia, altri derivati potrebbero essere ancora suscettibili. Gains Network, una piattaforma di finanza decentralizzata (DeFi), ha elaborato oltre 25 miliardi di dollari in derivati da maggio 2023 attraverso la sua app di trading, gTrade.
Secondo un rapporto datato 19 aprile dell'organizzazione di sicurezza blockchain Zellic, due distinti difetti in un derivato del software di trading di Gains Network potrebbero aver permesso agli utenti di accumulare un guadagno del 900% su ogni transazione, indipendentemente dal prezzo del token scambiato. Il primo glitch era stato identificato e corretto in una versione precedente di Gains, mentre il secondo era stato individuato solo in un derivato del software. Zellic ha rivelato di aver informato i team di sviluppo dei derivati di Gains Gambit Trade, Holdstation Exchange e Krav Trade, che hanno successivamente confermato che questi bug sono assenti dai loro protocolli. Ciononostante, altri derivati di Gains potrebbero essere ancora suscettibili, ha avvertito Zellic.
Gains Network, secondo il suo sito web, funziona come una piattaforma di finanza decentralizzata (DeFi) su Polygon e Arbitrum e la sua app di trading è ufficialmente nota come "gTrade", che ha elaborato oltre 25 miliardi di dollari in derivati dal suo lancio nel maggio 2023, come riportato dalla società di analisi blockchain, DefiLlama.
Importanti app di trading DeFi come Gambit Trade e Holdstation sono note per essere state generate dal codice primario di Gains Network. Durante l'analisi di uno di questi derivati, Zellic ha identificato la vulnerabilità, ma ha rifiutato di specificare di quale derivato si trattasse.
Il software Gains Network consente agli utenti di impostare ordini di trading di mercato, di inversione o di momentum. Un ordine di mercato consente l'acquisto o la vendita immediata di un asset a qualsiasi prezzo. Nel caso di momentum o reversal trade, lo smart contract registra un "ordine" che definisce il prezzo al quale l'utente è pronto a fare trading. Una volta raggiunto il prezzo desiderato, qualsiasi utente ha la possibilità di invocare la funzione executeLimitOrder per completare l'ordine. L'esecutore di questa funzione non deve essere l'esecutore dell'ordine e viene compensato con una "commissione di esecuzione" marginale per l'esecuzione dell'attività.
Zellic ha identificato che nel derivato Gains indagato, un utente potrebbe manipolare il prezzo stop-loss nella variabile "currentPrice" utilizzata per misurare profitti e perdite al momento dell'inserimento dell'ordine. Ciò significa che se un utente potesse impostare il prezzo di stop-loss al di sopra del prezzo di apertura, potrebbe potenzialmente guadagnare da qualsiasi operazione.
In uno scenario ipotetico in cui Bitcoin avesse un prezzo di 63.000$ e l'utente effettuasse un ordine a 62.000$ con un limite di stop-loss di 64.000$, se il prezzo dovesse scendere a 62.000$, l'ordine verrebbe eseguito. Il prezzo scenderebbe quindi al di sotto del suo stop-loss, provocando un'uscita automatica.
La piattaforma di trading è stata progettata per prevenire questo tipo di assalto attraverso un errore "incorrect_sl" che segnalerebbe qualsiasi utente che tenti di piazzare il proprio stop-loss più in alto del prezzo di apertura su un ordine di acquisto.
Tuttavia, Zellic stabilì che anche questo checkpoint di sicurezza poteva essere eluso. Un utente potrebbe alterare l'"openPrice" fornendo in anticipo un prezzo di apertura estremamente elevato, che potrebbe quindi essere sfruttato dall'esecutore per abbassare il prezzo di apertura ed eseguire l'ordine. In termini più semplici, utilizzando questo glitch, un utente potrebbe ottenere un profitto del 900% da ogni operazione, prosciugando così l'intero protocollo.
Il secondo problema tecnico ha permesso ai trader di guadagnare il 900% sugli ordini di vendita, indipendentemente dalle fluttuazioni del mercato. Secondo quanto riferito, questi errori sono stati comunicati a tutti i protocolli coinvolti da Zellic, ma hanno anche avvertito che alcuni fork potrebbero ancora contenere queste vulnerabilità, mettendo così a rischio i fondi degli utenti.
Sebbene Cointelegraph abbia contattato Gains Network, Gambit Trade, Holdstation Exchange e Krav Trade per un commento, non c'è stata alcuna risposta prima della pubblicazione dell'articolo. Anche se Gains Network pubblicizza di offrire il "prezzo spot reale" degli asset quotati, queste vulnerabilità hanno sollevato preoccupazioni significative tra la sua base di utenti.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.