Parece que duas vulnerabilidades de segurança foram descobertas por uma equipe chamada Zellic em vários forks do protocolo Gains Network. A primeira vulnerabilidade permitiu que um invasor contornasse uma verificação que impedia a abertura de negociações a preços extremamente altos, levando potencialmente a lucros significativos para o invasor. Esta vulnerabilidade foi encontrada em um fork específico e não na versão atual da Gains Network.
Oi pessoal! Você já cansou de viver na pobreza enquanto as criptomoedas estão curtindo uma vida de luxo? Então junte-se ao nosso canal @Crypnoticias no Telegram, onde compartilhamos notícias sobre criptomoedas em português - porque quem precisa de dinheiro de verdade quando você pode nadar em Dogecoins? Venha para o lado selvagem da especulação financeira, onde o único risco é perder tudo... ou ganhar um foguete para a lua! 😂💰🚀
☞ Junte-se ao Telegram
Um relatório da empresa de segurança blockchain Zellic, publicado em 19 de abril, revelou que duas vulnerabilidades distintas em um ramo específico do protocolo de negociação da Gains Network poderiam ter permitido aos comerciantes garantir lucros astronômicos de até 900% em cada negociação, independentemente do preço do token. . Um desses bugs foi identificado em uma iteração anterior de Gains e já foi corrigido. A segunda vulnerabilidade, no entanto, era exclusiva daquela bifurcação específica do protocolo.
Com base no anúncio de Zellic, os desenvolvedores de Gambit Trade, Holdstation Exchange e Krav Trade foram informados pela equipe de Zellic sobre uma vulnerabilidade em seus respectivos forks de Gains. Desde então, essas equipes tomaram medidas para resolver o problema e garantir que seus protocolos estejam livres dessas falhas específicas. No entanto, Zellic alertou que outras versões dos garfos Gains ainda podem estar em risco.
🚨 URGENTE: Dólar x Real em ALTA HISTÓRICA! Veja a previsão CHOCANTE!
Confira agora!Com base em seu próprio site, a Gains Network representa um sistema financeiro descentralizado (DeFi) que oferece diversos produtos no Polygon e Arbitrum. O nome dado ao seu aplicativo de negociação alavancada é “gTrade”. Desde o seu lançamento em maio de 2023, registrou mais de US$ 25 bilhões em volume de negociação de derivativos, conforme relatado pela DefiLlama, uma plataforma de análise de blockchain.
Zellic afirmou que vários aplicativos de negociação de finanças descentralizadas (DeFi) amplamente utilizados são construídos sobre a base de código fundamental da Gains Network. Entre eles estão Gambit Trade e Holdstation, além de vários outros protocolos. Ao examinar uma bifurcação específica, eles identificaram uma exploração, mas optaram por não divulgar em qual bifurcação ela estava.
Com base nas conclusões do relatório, os usuários da Gains Network têm a opção de colocar três tipos diferentes de ordens para negociação de ativos: mercado, reversão e impulso. Uma ordem de mercado é executada instantaneamente ao preço de mercado atual, desconsiderando quaisquer flutuações de preço.
Como um investidor criptográfico, quando coloco uma negociação dinâmica ou de reversão através do contrato inteligente, uma “ordem” é registrada com detalhes sobre o preço de negociação desejado. Assim que o preço for atingido no mercado, qualquer usuário poderá ativar o pedido acionando a função executeLimitOrder. É importante observar que o usuário que inicia a execução não precisa necessariamente ser aquele que fez o pedido originalmente. Em troca do seu papel na execução da negociação, o usuário recebe um pequeno pagamento de “taxa de execução”.
Os usuários têm a capacidade de definir ordens de limite e stop-limit como em uma bolsa tradicional, mas sem depender de um intermediário centralizado para a execução de ordens.
Como investidor criptográfico, posso utilizar o recurso que me permite determinar preços específicos para fechar minhas negociações automaticamente. Ao definir um preço take-profit, pretendo garantir lucros quando uma negociação atingir esse nível, enquanto um preço stop-loss visa limitar perdas potenciais se o mercado se mover contra mim. O objetivo destas ordens é fornecer uma estratégia de saída automatizada baseada em condições predefinidas.
Bug no fork Gains permitiu lucro de 900% em ordens de compra
Como pesquisador que estuda o sistema de negociação fork Gains, me deparei com uma descoberta intrigante sobre o tratamento de ordens de stop-loss. Ao iniciar uma ordem, o preço do stop loss seria salvo na variável “currentPrice” usada para calcular lucros e perdas. Consequentemente, se um trader conseguisse definir o seu preço de stop-loss acima do preço de abertura, obteria automaticamente lucros de quaisquer movimentos de preços subsequentes.
Como analista financeiro, eu reformularia assim: quando o preço do Bitcoin (BTC) estava em US$ 63.000 e você definiu sua posição aberta em US$ 62.000 com um stop loss em US$ 64.000, se o preço caísse para US$ 62.000, seu pedido seria atendido. . No entanto, como o preço está agora logo abaixo do seu stop loss designado, uma saída automática será iniciada.
Além disso, o preço stop-loss designado pelo usuário seria registrado como o valor de mercado atual. Consequentemente, o usuário embolsaria um lucro de US$ 2.000, embora o ganho real devesse ter sido em torno de US$ 0. Esta vulnerabilidade poderia potencialmente permitir que um invasor gerasse lucros em todas as negociações e, em última análise, esvaziasse os fundos do protocolo.
Como investigador que investiga potenciais vulnerabilidades em protocolos de negociação, recomendo a implementação de uma medida de salvaguarda para evitar que os utilizadores estabeleçam um preço de stop-loss acima do seu preço de compra inicial numa ordem de compra. Para conseguir isso, o protocolo deve incluir um mecanismo de verificação que verifique inconsistências e emita uma mensagem de erro rotulada como “wrong_sl” quando tal tentativa for feita pelo usuário.
No entanto, os investigadores descobriram que esta verificação poderia ser contornada em determinadas circunstâncias.
Quando um usuário inicia um pedido pela primeira vez, ele especifica o preço de entrada desejado, que é salvo na variável “openPrice”. Nesta fase, é realizada uma verificação. No entanto, a função responsável pelo processamento das ordens altera a variável “openPrice” para igual a “a.Price” mais qualquer impacto no preço da nova negociação que está sendo iniciada. Em termos mais simples, quando um usuário inicia um pedido, ele inicialmente define o preço de entrada, que fica registrado. Uma verificação é então realizada. No entanto, à medida que a ordem é executada, este preço de entrada inicial é substituído pelo preço de mercado atual mais qualquer custo adicional devido ao tamanho da ordem (impacto no preço).
Se um usuário inserisse um preço de abertura incomumente alto, o sistema permitiria que um executor processasse o pedido sem acionar a verificação de preço, resultando no atendimento do pedido a um preço de abertura mais baixo.
Por exemplo, Zellic ponderou sobre um cenário hipotético envolvendo um adversário que pretende comprar um token ao preço de um quatrilhão de dólares (US$ 100.000,00) e define um stop loss quase no mesmo valor, especificamente em US$ 999,999999999998 trilhões. Após a colocação desta ordem, o adversário realiza a sua própria transação, resultando numa alteração do openPrice para refletir o novo preço após o ajuste do preço da negociação.
Uma vez concluída e ativa a negociação, se o preço de abertura subsequente cair abaixo do nível de stop-loss inicialmente estabelecido, essa posição pode ser encerrada acionando a ordem de stop-loss. Quando um adversário realiza sua transação de stop-loss, ele obtém lucros com a diferença entre o preço finalizado e o preço no qual seu stop-loss foi colocado.
A negociação teria resultado em um lucro de 900% para o invasor, afirmou Zellic.
A primeira falha que descobrimos não fazia parte da Gains Network original quando a equipe Zellic a identificou. Em vez disso, surgiu na variação bifurcada que estávamos examinando. No entanto, durante a nossa investigação sobre este assunto, deparámo-nos com um segundo problema que estava presente numa versão anterior do próprio Gains.
O segundo bug permitiu lucro de 900% em pedidos de venda
O segundo bug permitiu que os traders lucrassem 900% nas ordens de venda, independentemente da ação do preço.
Na bifurcação de ganhos, quando uma negociação é concluída, a plataforma converte o nível de stop-loss ou take-profit especificado pelo usuário em uma variável chamada “int”. Esta variável é então empregada para determinar o lucro como uma porcentagem. No entanto, se um usuário definir um valor de stop-loss ou take-profit igual a 2 ^ 256-1, os cálculos subsequentes resultariam em um valor negativo para “int”.
No Ethereum, o valor máximo para números positivos é representado por 2^256-1. Ao tentar adicionar um valor acima deste limite ao total na linguagem de programação Solidity, o cálculo resultará em um “estouro”, fazendo com que ele seja reiniciado do zero. Esse valor também é conhecido como “type(uint256).max”.
Com base nas descobertas de Zellic, se um invasor empregasse uma alavancagem superior a 9 vezes o investimento original, teria potencialmente um retorno de mais de 900%.
“Vamos considerar uma ordem de venda, com currentPrice como tipo(uint256).max. O valor resultante de diff seria openPrice + 1 (int(type(uint256).max) = -1 ) e, portanto, a porcentagem de lucro seria quase igual a 100 * alavancagem. Portanto, se a alavancagem for maior que 9, a função retornará o lucro de 900%.”
Como pesquisador que estuda cláusulas contratuais em negociações financeiras, me deparei com uma disposição que visa impedir a entrada de 2 ^ 256-1 como nível de lucro. Esta verificação foi projetada para ser executada quando um pedido foi inicialmente colocado. No entanto, descobri uma lacuna: se um usuário alterasse sua configuração de lucro após a abertura do pedido, ele poderia ignorar essa restrição e inserir 2 ^ 256-1 como o nível de lucro desejado. Este descuido permitiu aos utilizadores obter potencialmente um lucro automático de aproximadamente 900% cada vez que negociavam.
Em uma iteração anterior de Gains, houve um problema com o segundo erro que foi resolvido por meio de uma atualização. Agora, a versão revisada evita esse problema porque realiza um processo de verificação não apenas quando o take-profit e o stop-loss são ajustados, mas também na sua configuração inicial.
Zellic supostamente compartilhou informações sobre as duas vulnerabilidades de segurança identificadas com todos os forks mencionados e entrou em contato com a Crypto Security Alliance para explorar outros protocolos potencialmente afetados. No entanto, uma nota de advertência foi emitida, pois algumas versões do fork do Gains ainda podem conter esses bugs, expondo potencialmente os fundos dos usuários a riscos de drenagem.
Como investidor em criptografia, entrei em contato com a CryptoMoon para perguntar sobre suas tentativas de entrar em contato com Gains Network, Gambit Trade, Holdstation Exchange e Krav Trade para comentários. No entanto, no momento da publicação deste artigo, não recebi nenhuma resposta dessas trocas.
De acordo com a Gains Network, eles fornecem o preço de mercado autêntico para os activos cotados, em vez do que consideram ser números menos precisos derivados de contratos perpétuos. Além disso, eles se orgulham de ter melhores capacidades de negociação forex do que seus concorrentes.
- EUR BRL PREVISÃO
- USD BRL PREVISÃO
- BTC PREVISÃO. BTC criptomoeda
- SOL PREVISÃO. SOL criptomoeda
- USD JPY PREVISÃO
- OM PREVISÃO. OM criptomoeda
- BIO PREVISÃO. BIO criptomoeda
- AVAX PREVISÃO. AVAX criptomoeda
- LINK PREVISÃO. LINK criptomoeda
- TRB PREVISÃO. TRB criptomoeda
2024-05-09 23:40