Les bugs du protocole de trading en réseau Gains auraient pu permettre un profit de 900 % sur les transactions
Summary:
Deux vulnérabilités importantes dans un protocole de trading Gains Network auraient pu permettre aux traders de réaliser un profit de 900 % sur chaque transaction, quel que soit le prix du jeton. Un bug a été corrigé dans une version précédente de Gains, tandis que l’autre n’a été trouvé que dans un protocole dérivé. La société de sécurité blockchain Zellic a alerté les équipes de développement sous les dérivés de Gains comme Gambit Trade, Holdstation Exchange et Krav Trade, en veillant à ce que les bogues n’existent pas dans leurs protocoles. Cependant, d’autres dérivés pourraient encore être sensibles. Gains Network, une plateforme de finance décentralisée (DeFi), a traité plus de 25 milliards de dollars de produits dérivés depuis mai 2023 via son application de trading, gTrade.
Deux failles distinctes dans un dérivé du logiciel de trading de Gains Network auraient pu permettre aux utilisateurs d’accumuler un gain de 900 % sur chaque transaction, quel que soit le prix du jeton échangé, selon un rapport daté du 19 avril de l’organisation de sécurité blockchain Zellic. Le premier problème avait été identifié et corrigé dans une ancienne version de Gains, tandis que le second n’avait été discerné que dans un dérivé du logiciel. Zellic a révélé qu’ils avaient informé les équipes de développement des dérivés de Gains Gambit Trade, Holdstation Exchange et Krav Trade, qui ont ensuite confirmé que ces bugs sont absents de leurs protocoles. Néanmoins, d’autres dérivés de gains pourraient encore être sensibles, a averti M. Zellic.
Gains Network, selon son site Web, fonctionne comme une plateforme de finance décentralisée (DeFi) sur Polygon et Arbitrum et son application de trading est officiellement connue sous le nom de « gTrade », qui a traité plus de 25 milliards de dollars de produits dérivés depuis son lancement en mai 2023, comme le rapporte la société d’analyse blockchain, DefiLlama.
Des applications de trading DeFi notables telles que Gambit Trade et Holdstation sont connues pour avoir été engendrées à partir du code primaire de Gains Network. Au cours de l’analyse d’un tel dérivé, Zellic a identifié la vulnérabilité mais a refusé de préciser de quel dérivé il s’agissait.
Le logiciel Gains Network permet aux utilisateurs de mettre en place des ordres de trading au marché, de retournement ou de momentum. Un ordre au marché permet l’achat ou la vente immédiate d’un actif à n’importe quel prix. Dans le cas d’un momentum ou d’un flipal trade, le contrat intelligent enregistre un « ordre » définissant le prix auquel l’utilisateur est prêt à trader. Une fois que ce prix souhaité est atteint, tout utilisateur a la possibilité d’invoquer la fonction executeLimitOrder pour compléter l’ordre. L’exécuteur de cette fonction n’a pas besoin d’être le placeur de l’ordre et est rémunéré par des « frais d’exécution » marginaux pour l’exécution de la tâche.
Zellic a identifié que dans le dérivé Gains étudié, un utilisateur pouvait manipuler le prix stop-loss en la variable « currentPrice » utilisée pour mesurer les profits et les pertes au moment du placement de l’ordre. Cela signifie que si un utilisateur pouvait fixer le prix stop-loss au-dessus du prix d’ouverture, il pourrait potentiellement gagner de n’importe quelle transaction.
Dans un scénario hypothétique dans lequel Bitcoin était au prix de 63 000 $ et où l’utilisateur passe un ordre à 62 000 $ avec une limite stop-loss de 64 000 $, si le prix devait tomber à 62 000 $, l’ordre serait exécuté. Le prix tomberait alors en dessous de son stop-loss, provoquant une sortie automatique.
La plateforme de trading a été conçue pour empêcher ce type d’attaque par le biais d’une erreur « incorrect_sl » qui signalerait tout utilisateur tentant de placer son stop-loss au-dessus de son prix d’ouverture sur un ordre d’achat.
Cependant, Zellic a déterminé que même ce point de contrôle de sécurité pouvait être évité. Un utilisateur pourrait modifier le « openPrice » en donnant un prix d’ouverture extrêmement élevé à l’avance, qui pourrait ensuite être exploité par l’exécuteur testamentaire pour baisser le prix d’ouverture et exécuter l’ordre. En termes plus simples, en utilisant ce problème, un utilisateur pourrait réaliser un profit de 900 % sur chaque transaction, drainant ainsi l’ensemble du protocole.
Le deuxième problème a permis aux traders de profiter à 900 % des ordres de vente, quelles que soient les fluctuations du marché. Ces erreurs auraient été communiquées à tous les protocoles concernés par Zellic, mais ils ont également averti que certains forks pourraient encore contenir ces vulnérabilités, mettant ainsi en danger les fonds des utilisateurs.
Bien que Cointelegraph ait contacté Gains Network, Gambit Trade, Holdstation Exchange et Krav Trade pour obtenir des commentaires, il n’y a pas eu de réponse avant la publication de l’article. Même si Gains Network annonce qu’il offre le « prix au comptant réel » des actifs cotés, ces vulnérabilités ont suscité de vives inquiétudes parmi sa base d’utilisateurs.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.