Kazanç Ağı Ticaret Protokolünün Hataları, İşlemlerde %900 Kâra İzin Verebilirdi
Summary:
Bir Gains Network ticaret protokolündeki iki önemli güvenlik açığı, yatırımcıların token fiyatından bağımsız olarak her işlemde %900 kar elde etmelerine izin verebilirdi. Bir hata önceki bir Gains sürümünde düzeltildi, diğeri ise yalnızca bir türev protokolünde bulundu. Blockchain güvenlik firması Zellic, Gains'in altındaki geliştirme ekiplerini uyararak Gambit Trade, Holdstation Exchange ve Krav Trade gibi türevlerin altındaki hataları uyardı ve hataların protokollerinde bulunmadığından emin oldu. Bununla birlikte, diğer türevler yine de duyarlı olabilir. Merkeziyetsiz finans (DeFi) platformu Gains Network, alım satım uygulaması gTrade aracılığıyla Mayıs 2023'ten bu yana 25 milyar doların üzerinde türev işlem gerçekleştirdi.
Blockchain güvenlik kuruluşu Zellic'in 19 Nisan tarihli bir raporuna göre, Gains Network'ün alım satım yazılımının bir türevindeki iki belirgin kusur, kullanıcıların alım satım tokeninin fiyatından bağımsız olarak her işlemde yüzde 900 kazanç elde etmesine izin verebilirdi. İlk aksaklık daha eski bir Gains sürümünde tespit edilmiş ve düzeltilmiş, ikincisi ise yalnızca yazılımın bir türevinde fark edilmişti. Zellic, Gains türevleri Gambit Trade, Holdstation Exchange ve Krav Trade'in altındaki geliştirme ekiplerini bilgilendirdiklerini ve daha sonra bu hataların protokollerinde bulunmadığını doğruladıklarını açıkladı. Bununla birlikte, Zellic, diğer Gains türevlerinin hala hassas olabileceği konusunda uyardı.
Gains Network, web sitesine göre, Polygon ve Arbitrum'da merkezi olmayan bir finans (DeFi) platformu olarak işlev görüyor ve ticaret uygulaması, blockchain analitik şirketi DefiLlama tarafından bildirildiği üzere, Mayıs 2023'teki lansmanından bu yana $25 milyardan fazla türev işleyen resmi olarak "gTrade" olarak biliniyor.
Gambit Trade ve Holdstation gibi önemli DeFi ticaret uygulamalarının Gains Network'ün birincil kodundan ortaya çıktığı bilinmektedir. Böyle bir türevin analizi sırasında, Zellic güvenlik açığını tespit etti, ancak hangi türev olduğunu belirtmeyi reddetti.
Gains Network yazılımı, kullanıcıların piyasa, ters çevirme veya momentum alım satım emirleri oluşturmasına olanak tanır. Piyasa emri, bir varlığın herhangi bir fiyattan anında alınmasına veya satılmasına izin verir. Momentum veya ters ticaret durumunda, akıllı sözleşme, kullanıcının işlem yapmaya hazır olduğu fiyatı tanımlayan bir "emir" kaydeder. İstenen bu fiyata ulaşıldığında, herhangi bir kullanıcı emri tamamlamak için executeLimitOrder işlevini çağırma yeteneğine sahiptir. Bu işlevin yürütücüsü, emrin yerleştiricisi olmak zorunda değildir ve görevi yerine getirmek için marjinal bir "yürütme ücreti" ile tazmin edilir.
Zellic, incelenen Kazanç türevinde, bir kullanıcının zararı durdur fiyatını, emir verme sırasında kar ve zararı ölçmek için kullanılan "currentPrice" değişkenine manipüle edebileceğini tespit etti. Bu, bir kullanıcı stop-loss fiyatını açık fiyatın üzerine belirleyebilirse, potansiyel olarak herhangi bir işlemden kazanç sağlayabileceği anlamına gelir.
Bitcoin'in 63.000 $ olarak fiyatlandırıldığı ve kullanıcının 64.000 $'lık bir stop-loss limiti ile 62.000 $' dan bir emir verdiği varsayımsal bir senaryoda, fiyat 62.000 $' a düşerse emir yerine getirilecektir. Fiyat daha sonra stop-loss'un altına düşecek ve otomatik bir çıkışa neden olacaktır.
Alım satım platformu, stop-loss'larını bir satın alma emrinde açık fiyatlarından daha yükseğe koymaya çalışan herhangi bir kullanıcıyı işaretleyecek bir "incorrect_sl" hatası yoluyla bu tür bir saldırıyı önlemek için tasarlanmıştır.
Ancak Zellic, bu güvenlik kontrol noktasından bile kaçınılabileceğini belirledi. Bir kullanıcı, son derece yüksek bir açılış fiyatını önceden vererek "openPrice"ı değiştirebilir ve bu daha sonra uygulayıcı tarafından açılış fiyatını düşürmek ve emri doldurmak için kullanılabilir. Daha basit bir ifadeyle, bu aksaklığı kullanarak, bir kullanıcı her işlemden %900 kar elde edebilir ve böylece tüm protokolü boşaltabilir.
İkinci aksaklık, tüccarların piyasa dalgalanmalarından bağımsız olarak satış emirlerinde %900 kar elde etmelerini sağladı. Bu hataların Zellic tarafından ilgili tüm protokollere iletildiği bildirildi, ancak aynı zamanda bazı çatalların hala bu güvenlik açıklarını içerebileceği ve dolayısıyla kullanıcı fonlarını riske atabileceği konusunda uyardılar.
Cointelegraph, yorum almak için Gains Network, Gambit Trade, Holdstation Exchange ve Krav Trade'e ulaşsa da, makale yayınlanmadan önce herhangi bir yanıt gelmedi. Gains Network, listelenen varlıkların 'gerçek spot fiyatını' sunduğunu ilan etse de, bu güvenlik açıkları kullanıcı tabanı arasında önemli endişelere yol açtı.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.