Bugs do protocolo de negociação da rede de ganhos poderiam ter permitido 900% de lucro em negociações
Summary:
Duas vulnerabilidades significativas em um protocolo de negociação da Gains Network poderiam ter permitido que os comerciantes obtivessem um lucro de 900% em cada transação, independentemente do preço do token. Um bug foi corrigido em uma versão anterior do Gains, enquanto o outro só foi encontrado em um protocolo derivado. A empresa de segurança blockchain Zellic alertou as equipes de desenvolvimento de derivativos da Gains, como Gambit Trade, Holdstation Exchange e Krav Trade, garantindo que os bugs não existam em seus protocolos. No entanto, outros derivados ainda podem ser suscetíveis. A Gains Network, uma plataforma de finanças descentralizadas (DeFi), processou mais de US$ 25 bilhões em derivativos desde maio de 2023 por meio de seu aplicativo de negociação, gTrade.
Duas falhas distintas em um derivado do software de negociação da Gains Network podem ter permitido que os usuários acumulassem um ganho de 900% em cada transação, independentemente do preço do token negociado, de acordo com um relatório datado de 19 de abril pela organização de segurança blockchain Zellic. A primeira falha havia sido identificada e corrigida em uma versão mais antiga do Gains, enquanto a segunda só havia sido discernida em um derivado do software. Zellic revelou que eles notificaram as equipes de desenvolvimento sob os derivados Gambit Trade, Holdstation Exchange e Krav Trade, que posteriormente confirmaram que esses bugs estão ausentes de seus protocolos. No entanto, outros derivados de ganhos ainda podem ser suscetíveis, alertou Zellic.
A Gains Network, de acordo com seu site, funciona como uma plataforma de finanças descentralizadas (DeFi) na Polygon e Arbitrum e seu aplicativo de negociação é oficialmente conhecido como "gTrade", que processou mais de US$ 25 bilhões em derivativos desde seu lançamento em maio de 2023, conforme relatado pela empresa de análise de blockchain, DefiLlama.
Aplicativos de negociação DeFi notáveis, como Gambit Trade e Holdstation, são conhecidos por terem sido gerados a partir do código principal da Gains Network. Durante a análise de uma dessas derivadas, Zellic identificou a vulnerabilidade, mas se recusou a especificar qual derivada era.
O software Gains Network permite que os usuários configurem ordens de negociação de mercado, reversão ou momentum. Uma ordem de mercado permite a compra ou venda imediata de um ativo a qualquer preço. No caso de momentum ou negociação de reversão, o contrato inteligente registra uma "ordem" definindo o preço pelo qual o usuário está pronto para negociar. Uma vez que esse preço desejado é atingido, qualquer usuário tem a capacidade de invocar a função executeLimitOrder para concluir o pedido. O executor dessa função não precisa ser o colocador da ordem e é compensado com uma "taxa de execução" marginal pela execução da tarefa.
Zellic identificou que, na derivada Gains investigada, um usuário poderia manipular o preço stop-loss para a variável "currentPrice" utilizada para medir o lucro e a perda no momento da colocação da ordem. Isso significa que se um usuário pudesse definir o preço de stop-loss acima do preço de abertura, ele poderia potencialmente ganhar com qualquer negociação.
Em um cenário hipotético em que o Bitcoin foi precificado em US$ 63.000 e o usuário faz um pedido em US$ 62.000 com um limite de stop-loss de US$ 64.000, se o preço caísse para US$ 62.000, o pedido seria preenchido. O preço, então, cairia abaixo de seu stop-loss, levando a uma saída automática.
A plataforma de negociação foi projetada para evitar esse tipo de ataque através de um erro "incorrect_sl" que sinalizaria qualquer usuário que tentasse colocar seu stop-loss mais alto do que seu preço de abertura em uma ordem de compra.
No entanto, Zellic determinou que mesmo esse ponto de controle de segurança poderia ser evitado. Um usuário poderia alterar o "openPrice" dando um preço de abertura extremamente alto adiantado, que poderia então ser explorado pelo executor para baixar o preço de abertura e preencher o pedido. Em termos mais simples, usando essa falha, um usuário poderia obter um lucro de 900% em cada negociação, drenando assim todo o protocolo.
A segunda falha permitiu que os comerciantes lucrassem 900% em ordens de venda, independentemente das flutuações do mercado. Esses erros teriam sido comunicados a todos os protocolos envolvidos por Zellic, mas eles também alertaram que alguns forks ainda podem conter essas vulnerabilidades, arriscando assim os fundos do usuário.
Embora o Cointelegraph tenha entrado em contato com a Gains Network, Gambit Trade, Holdstation Exchange e Krav Trade para comentários, não houve resposta antes da publicação do artigo. Embora a Gains Network anuncie que oferece o "preço à vista real" dos ativos listados, essas vulnerabilidades levantaram preocupações significativas entre sua base de usuários.
Published At
5/9/2024 11:31:14 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.