Финансовая энциклопедия

Баги в сетевом форке Gains позволяют трейдерам получать 900% прибыли с каждой сделки: Отчет

Недавно обнаруженный отчет компании Zellic, специализирующейся на безопасности блокчейна, выявил две критические ошибки в форке протокола торговли с использованием кредитного плеча Gains Network. Эти уязвимости могли позволить трейдерам получать ошеломляющую прибыль в размере 900 % на каждой сделке, независимо от цены токена. Хотя конкретное название форка не раскрывается, важно отметить, что несколько популярных торговых приложений DeFi созданы на основе базового кода Gains Network.

Эксплойты

Первая ошибка, обнаруженная Зелликом, связана с манипуляцией ценами стоп-лосс в ордерах на покупку. В исследуемом форке Gains цена стоп-лосса ошибочно сохранялась в переменной «currentPrice», используемой для расчета прибыли и убытков. Этот недостаток позволял пользователям устанавливать стоп-лосс выше цены открытия, что приводило к автоматическому получению прибыли по любой сделке. Например, если пользователь установил цену открытия на уровне $62 000 для биткоина (BTC) и стоп-лосс на уровне $64 000, он получит прибыль, даже если цена упадет до $62 000. Эксплуатируя эту ошибку, злоумышленник может лишить протокол его средств.
Вторая ошибка затрагивала ордера на продажу, позволяя трейдерам получать прибыль в 900 % независимо от ценового действия. При закрытии сделки в вилке Gains точка стоп-лосса или тейк-профита пользователя преобразовывалась в переменную под названием «int». Если пользователь вводил значение стоп-лосса или тейк-профита, равное ровно 2^256-1, то в результате вычислений «int» становился отрицательным. Используя этот недостаток, злоумышленник мог получить 900% прибыли, используя кредитное плечо более 9x.

Вовлечение в протокол

Зеллик незамедлительно проинформировал разработчиков форков Gains, таких как Gambit Trade, Holdstation Exchange и Krav Trade, об этих уязвимостях безопасности. Эти команды разработчиков приняли меры, чтобы их протоколы не содержали выявленных недостатков. Однако Зеллик предупредил, что другие форки Gains все еще могут быть подвержены этим ошибкам, представляя риск для средств пользователей.
Экосистема Gains Network, работающая в сетях Polygon и Arbitrum, предлагает децентрализованные финансовые продукты (DeFi). С момента своего создания в мае 2023 года приложение для торговли с использованием кредитного плеча, известное как «gTrade», обеспечило оборот деривативов на сумму более 25 миллиардов долларов. Примечательно, что многие торговые приложения DeFi построены на базовом коде Gains Network, что еще больше подчеркивает потенциальное влияние этих уязвимостей.

Предотвращение эксплойтов и исправления

Чтобы смягчить первую ошибку, форк Gains содержал проверку, которая выдавала ошибку «wrong_sl», если пользователь пытался установить стоп-лосс выше цены открытия ордера на покупку. Однако Зеллик обнаружил, что при определенных обстоятельствах эту проверку можно было обойти, что позволяло сохранить эксплойт.
Вторая ошибка, затрагивающая ордера на продажу, присутствовала в более ранней версии Gains, но впоследствии была исправлена. В текущей версии Gains Network реализованы проверки, предотвращающие ввод 2^256-1 в качестве значения take-profit.

Последствия и дальнейшие шаги

Обнаружение Зелликом этих двух критических ошибок служит напоминанием о постоянных проблемах безопасности, с которыми сталкиваются протоколы DeFi. Хотя выявленные уязвимости были устранены в некоторых форках Gains, остается вероятность того, что другие форки все еще могут содержать эти недостатки, подвергая риску средства пользователей.
В ответ на эти находки Zellic уведомила Crypto Security Alliance и другие соответствующие стороны, чтобы повысить осведомленность и снизить потенциальные риски в других протоколах, которые могут быть затронуты аналогичными уязвимостями.
Для пользователей и разработчиков в сфере DeFi крайне важно уделять первостепенное внимание мерам безопасности и проводить тщательный аудит для выявления и устранения потенциальных уязвимостей. Поскольку экосистема DeFi продолжает развиваться, поддержание целостности и безопасности этих платформ имеет первостепенное значение для защиты средств пользователей и укрепления долгосрочного доверия к индустрии.

Заключение

Ошибки, обнаруженные Zellic в форке Gains Network, подчеркивают потенциальные риски, существующие в протоколах DeFi. Возможность для трейдеров получать прибыль в размере 900 % на каждой сделке, независимо от цены токена, вызывает серьезные опасения в отношении безопасности и стабильности этих платформ. Хотя в некоторых форках Gains были предприняты усилия по устранению этих уязвимостей, все еще существует необходимость в постоянной бдительности и проактивных мерах по обеспечению безопасности средств пользователей. Индустрия DeFi должна уделять приоритетное внимание безопасности и совместно работать над выявлением и устранением уязвимостей, тем самым способствуя созданию более безопасной и устойчивой экосистемы для всех участников.


Похожие статьи