Ошибки в протоколе сетевой торговли Gains могли позволить получить 900% прибыли от сделок
Summary:
Две существенные уязвимости в торговом протоколе Gains Network могли позволить трейдерам получать 900% прибыли с каждой транзакции, независимо от цены токена. Одна ошибка была исправлена в предыдущей версии Gains, в то время как другая была найдена только в производном протоколе. Компания Zellic, специализирующаяся на безопасности блокчейна, предупредила команды разработчиков деривативов Gains, таких как Gambit Trade, Holdstation Exchange и Krav Trade, убедившись, что в их протоколах нет ошибок. Тем не менее, другие деривативы все еще могут быть восприимчивы. Gains Network, платформа децентрализованных финансов (DeFi), с мая 2023 года обработала деривативы на сумму более 25 миллиардов долларов через свое торговое приложение gTrade.
Согласно отчету от 19 апреля организации по безопасности блокчейна Zellic, два явных недостатка в производной от торгового программного обеспечения Gains Network могли позволить пользователям накапливать 900% прибыли от каждой транзакции, независимо от цены торгуемого токена. Первый сбой был выявлен и исправлен в более старой версии Gains, в то время как второй был обнаружен только в производной версии программного обеспечения. Зеллик сообщил, что они уведомили команды разработчиков деривативов Gains, Gambit Trade, Holdstation Exchange и Krav Trade, которые впоследствии подтвердили, что эти ошибки отсутствуют в их протоколах. Тем не менее, другие деривативы Gain все еще могут быть восприимчивы, предупредил Зеллик.
Gains Network, согласно ее веб-сайту, функционирует как платформа децентрализованных финансов (DeFi) на Polygon и Arbitrum, а ее торговое приложение официально известно как «gTrade», которое с момента своего запуска в мае 2023 года обработало деривативы на сумму более 25 миллиардов долларов, как сообщает аналитическая компания DefiLlama.
Известно, что известные приложения для торговли DeFi, такие как Gambit Trade и Holdstation, были созданы на основе основного кода Gains Network. Во время анализа одного из таких производных Зеллик выявил уязвимость, но отказался уточнить, что это за производная.
Программное обеспечение Gains Network позволяет пользователям устанавливать рыночные, разворотные или импульсные торговые ордера. Рыночный ордер позволяет мгновенно купить или продать актив по любой цене. В случае импульсной или разворотной торговли смарт-контракт записывает «ордер», определяющий цену, по которой пользователь готов торговать. Как только эта желаемая цена достигнута, любой пользователь имеет возможность вызвать функцию executeLimitOrder для завершения ордера. Исполнитель этой функции не обязательно должен быть распорядителем ордера и компенсируется маржинальной «платой за исполнение» за выполнение задачи.
Зеллик определил, что в исследованном производном от прибылей пользователь может манипулировать ценой стоп-лосса в переменной «currentPrice», используемой для измерения прибыли и убытка в момент размещения ордера. Это означает, что если пользователь может установить цену стоп-лосса выше цены открытия, он потенциально может получить прибыль от любой сделки.
В гипотетическом сценарии, в котором биткоин был оценен в 63 000 долларов, а пользователь размещает ордер на уровне 62 000 долларов с лимитом стоп-лосса в 64 000 долларов, если цена упадет до 62 000 долларов, ордер будет исполнен. Затем цена упадет ниже стоп-лосса, что приведет к автоматическому выходу.
Торговая платформа была разработана для предотвращения такого рода атак с помощью ошибки «incorrect_sl», которая помечает любого пользователя, пытающегося разместить свой стоп-лосс выше, чем цена открытия ордера на покупку.
Тем не менее, Зеллич решил, что даже этот контрольно-пропускной пункт можно обойти. Пользователь может изменить "openPrice", указав чрезвычайно высокую цену открытия заранее, которая затем может быть использована исполнителем для сброса цены открытия и исполнения ордера. Проще говоря, используя этот сбой, пользователь может получить 900% прибыли с каждой сделки, тем самым истощая весь протокол.
Второй сбой позволял трейдерам получать прибыль в размере 900% от ордеров на продажу независимо от колебаний рынка. Сообщается, что Zellic сообщил об этих ошибках всем задействованным протоколам, но они также предупредили, что некоторые форки все еще могут содержать эти уязвимости, тем самым подвергая риску средства пользователей.
Хотя Cointelegraph обратился за комментариями к Gains Network, Gambit Trade, Holdstation Exchange и Krav Trade, ответа не последовало до публикации статьи. Несмотря на то, что Gains Network рекламирует, что предлагает «реальную спотовую цену» котируемых активов, эти уязвимости вызвали серьезную обеспокоенность среди ее пользовательской базы.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.