Selon PANews, un rapport publié par la société de sécurité blockchain Zellic le 19 avril a révélé deux vulnérabilités distinctes dans le protocole gTrade de Gains Network. Ces vulnérabilités auraient pu permettre aux traders de profiter de 900 % sur chaque transaction, quel que soit le prix du jeton échangé. L'une des vulnérabilités a été découverte dans une première version de Gains mais a depuis été corrigée. L’autre vulnérabilité n’a été découverte que dans un fork du protocole.

Dans ses recherches, Zellic a découvert que l'une des vulnérabilités du fork Gains permettait aux attaquants de réaliser des bénéfices en fixant un prix d'ouverture extrêmement élevé et un prix stop-loss légèrement inférieur. Lorsque l'attaquant passait un ordre bien supérieur au prix réel et fixait un stop-loss proche de ce prix, le système prenait par erreur le prix actuel (affecté par l'ordre) comme prix d'ouverture, provoquant le déclenchement rapide de la condition stop-loss. . À ce stade, l'attaquant pourrait exécuter l'opération stop-loss et gagner jusqu'à 900 % de bénéfices illégaux sur une marge bénéficiaire initialement presque nulle, ce qui constituerait une menace sérieuse pour la sécurité des fonds du protocole.

La deuxième vulnérabilité découverte par Zellic permettait aux traders de réaliser des bénéfices anormalement élevés sur les ordres de vente via des opérations spécifiques. Lorsque le point de prise de profit ou de stop-loss défini par le trader était exactement la valeur maximale du type uint256 dans Ethereum (c'est-à-dire 2 ^ 256-1), en raison d'un débordement numérique, le système calculait incorrectement le profit, permettant au trader de gagnez jusqu'à 900 % de profit quelle que soit la situation commerciale réelle. Cette deuxième vulnérabilité existait bel et bien dans une première version de Gains mais a depuis été corrigée. La version actuelle ne contient pas cette vulnérabilité car elle est vérifiée lors de la mise à jour et de la définition initiale des points de profit et de stop-loss.

Zellic a déclaré que son personnel avait informé les développeurs des projets fork de Gains Gambit Trade, Holdstation Exchange et Krav Trade de ces vulnérabilités, et ces équipes de développement ont veillé à ce que ces deux vulnérabilités n'existent pas dans leurs protocoles. Cependant, Zellic a averti que d’autres forks de Gains pourraient encore présenter des vulnérabilités. Zellic a affirmé que plusieurs applications de trading DeFi populaires sont dérivées du code de base de Gains Network, y compris Gambit Trade et Holdstation susmentionnés, ainsi que de nombreux autres protocoles. Ils ont découvert cette vulnérabilité en recherchant un fork spécifique, mais ont refusé de divulguer dans quel fork il a été trouvé. Zellic a informé toutes les versions de fork susmentionnées des deux vulnérabilités de sécurité et a contacté la Crypto Security Alliance pour trouver d'autres protocoles susceptibles d'être affectés par celles-ci. vulnérabilités.