Gains Network安全漏洞曝光 交易者可能获得10倍收益

在区块链安全专家的披露下，Gains Network的一个分支出现了一个严重的漏洞，让交易者有可能在每笔交易中声称获得10倍收益，而不受代币价格的影响。

Gains Network的漏洞

根据DeFi Llama的数据，Gains Network的锁定总价值（TVL）高达2029万美元，自2023年5月成立以来，已处理了高达250亿美元的衍生品交易量。

然而，一份来自Zellic的报告突出了一个影响该协议分支的严重错误。该错误使攻击者可以设置任意高的买入限价订单，并自动赢得每一笔交易。

漏洞原理

这个漏洞的原理如下：当订单被开启时，止损价格会被存储在协议的“currentPrice”变量中，该变量用来计算盈亏。因此，如果用户将其止损/亏损价格设置在开盘价格之上，他们可以无风险地从交易中获利。

例如，假设比特币的价格为60,000美元，交易者输入的开盘价为59,000美元，止损/亏损价为61,000美元。如果价格跌至59,000美元，交易将被开启，但价格会立即低于交易者的止损价，触发立即退出。然而，由于止损价格61,000美元被设置为协议的“当前价格”，系统因此为用户记录了2000美元的利润。

修复漏洞

如果攻击者进行足够多的交易，并且设定足够高的止损/亏损值，他可能完全耗尽协议的资金。尽管协议中包含了一些检查，以阻止那些试图将止损价格设定在买单开盘价之上的人，但仍然发现了其他漏洞，允许攻击者绕过这一检查。

Zellic表示，使用特定数字，交易者可以保证获得900%的利润。虽然这个特定的漏洞只在Gains Network的一个分支中被发现，但Zellic还发现了一个影响Gains实际协议早期版本的漏洞，让交易者在卖单上获得900%的利润。

Zellic已经通知了管理Gains分支的多个团队，包括Gambit Trade、Holdstation Exchange和Krav Trade等关于这些漏洞，所有这些团队都确保了他们的协议不再存在漏洞。然而，Zellic警告说，其他分支仍可能面临损失的风险。