يمكن أن تسمح أخطاء بروتوكول تداول شبكة المكاسب بربح 900٪ على التداولات
Summary:
كان من الممكن أن تسمح ثغرتا ضعف كبيرتان في بروتوكول تداول شبكة المكاسب للمتداولين بالحصول على ربح بنسبة 900٪ في كل معاملة ، بغض النظر عن سعر الرمز المميز. تم إصلاح خطأ واحد في إصدار Gains سابق ، بينما تم العثور على الآخر فقط في بروتوكول مشتق. نبهت شركة Zellic الأمنية Blockchain فرق التطوير الموجودة أسفل مشتقات Gains مثل Gambit Trade و Holdstation Exchange و Krav Trade ، مما يضمن عدم وجود الأخطاء في بروتوكولاتها. ومع ذلك ، قد تظل المشتقات الأخرى عرضة للإصابة. قامت Gains Network ، وهي منصة تمويل لامركزية (DeFi) ، بمعالجة أكثر من 25 مليار دولار من المشتقات منذ مايو 2023 من خلال تطبيق التداول الخاص بها ، gTrade.
كان من الممكن أن يسمح عيبان متميزان في أحد مشتقات برنامج التداول الخاص بشبكة Gains Network للمستخدمين بتجميع مكاسب بنسبة 900٪ في كل معاملة ، بغض النظر عن سعر الرمز المميز المتداول ، وفقا لتقرير مؤرخ في 19 أبريل من قبل منظمة أمن blockchain Zellic. تم تحديد الخلل الأول وتصحيحه في إصدار أقدم من Gains ، بينما تم تمييز الخلل الثاني فقط في مشتق من البرنامج. كشفت Zellic أنها أخطرت فرق التطوير تحت مشتقات Gains Gambit Trade و Holdstation Exchange و Krav Trade ، الذين أكدوا لاحقا أن هذه الأخطاء غائبة عن بروتوكولاتهم. ومع ذلك ، قد تظل مشتقات Gains الأخرى عرضة ، كما حذر Zellic.
تعمل شبكة Gains Network ، وفقا لموقعها على الويب ، كمنصة تمويل لامركزية (DeFi) على Polygon و Arbitrum ويعرف تطبيق التداول الخاص بها رسميا باسم "gTrade" ، والذي عالج أكثر من 25 مليار دولار من المشتقات منذ إطلاقه في مايو 2023 ، كما ذكرت شركة تحليلات blockchain ، DefiLlama.
من المعروف أن تطبيقات تداول DeFi البارزة مثل Gambit Trade و Holdstation قد تم إنتاجها من الكود الأساسي لشبكة Gains. أثناء تحليل أحد هذه المشتقات ، حدد Zellic الثغرة الأمنية لكنه رفض تحديد المشتق الذي كان عليه.
يسمح برنامج Gains Network للمستخدمين بإعداد أوامر تداول السوق أو الانعكاس أو الزخم. يسمح أمر السوق بالشراء أو البيع الفوري للأصل بأي ثمن. في حالة الزخم أو التداول العكسي ، يسجل العقد الذكي "أمرا" يحدد السعر الذي يكون المستخدم مستعدا للتداول به. بمجرد الوصول إلى هذا السعر المطلوب ، يكون لدى أي مستخدم القدرة على استدعاء وظيفة executeLimitOrder لإكمال الطلب. لا يجب أن يكون منفذ هذه الوظيفة هو المنفذ للأمر ويتم تعويضه ب "رسوم تنفيذ" هامشية لتنفيذ المهمة.
حدد Zellic أنه في مشتق Gains الذي تم التحقيق فيه ، يمكن للمستخدم التلاعب بسعر وقف الخسارة في متغير "currentPrice" المستخدم لقياس الربح والخسارة في وقت وضع الأمر. هذا يعني أنه إذا تمكن المستخدم من تعيين سعر وقف الخسارة أعلى من سعر الفتح ، فمن المحتمل أن يكسب من أي صفقة.
في سيناريو افتراضي حيث تم تسعير Bitcoin بسعر 63000 دولار ويضع المستخدم طلبا بسعر 62000 دولار مع حد وقف الخسارة البالغ 64000 دولار ، إذا انخفض السعر إلى 62000 دولار ، تنفيذ الطلب. ثم ينخفض السعر إلى ما دون وقف الخسارة ، مما يؤدي إلى الخروج التلقائي.
تم تصميم منصة التداول لمنع هذا النوع من الاعتداء من خلال خطأ "incorrect_sl" والذي من شأنه أن يشير إلى أي مستخدم يحاول وضع وقف الخسارة أعلى من سعر الفتح في أمر الشراء.
ومع ذلك ، قرر Zellic أنه حتى نقطة التفتيش الآمنة هذه يمكن التهرب منها. يمكن للمستخدم تغيير "سعر الفتح" من خلال إعطاء سعر فتح مرتفع للغاية مقدما ، والذي يمكن بعد ذلك استغلاله من قبل المنفذ لإسقاط سعر الفتح وملء الأمر. بعبارات أبسط ، باستخدام هذا الخلل ، يمكن للمستخدم الحصول على ربح بنسبة 900٪ من كل صفقة ، وبالتالي استنزاف البروتوكول بأكمله.
سمح الخلل الثاني للمتداولين بالربح بنسبة 900٪ من أوامر البيع بغض النظر عن تقلبات السوق. وبحسب ما ورد تم إبلاغ هذه الأخطاء إلى جميع البروتوكولات المعنية من قبل Zellic ، لكنهم حذروا أيضا من أن بعض الشوكات قد لا تزال تحتوي على هذه الثغرات الأمنية ، وبالتالي المخاطرة بأموال المستخدمين.
وعلى الرغم من أن كوينتيليغراف تواصل مع شبكة غاينز وغامبت تريد وهولدستيشن إكستشينج وكراف تريد للحصول على تعليقات، إلا أنه لم يكن هناك رد قبل نشر المقال. على الرغم من أن شبكة Gains تعلن أنها تقدم "السعر الفوري الحقيقي" للأصول المدرجة ، فقد أثارت نقاط الضعف هذه مخاوف كبيرة بين قاعدة مستخدميها.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.