Bitget App
Trade smarter
Acheter des cryptosMarchésTradingFuturesCopyBotsEarn
900 % de profit assuré : retour sur un bug lucratif pour les traders de la DeFi

900 % de profit assuré : retour sur un bug lucratif pour les traders de la DeFi

Journalducoin-defi (FR)2024/05/12 06:22
Par:Journalducoin-defi (FR)

Les protocoles de finance décentralisée reposent sur des séries de smart contracts. Malheureusement, ces derniers peuvent présenter des bugs. Dans certains cas, ces bugs peuvent avoir des incidences majeures. À la fois sur la santé de ces protocoles et sur les fonds de leurs utilisateurs. Le dernier en date, un bug dans le code de plusieurs forks de Gains Network permettait aux traders de faire 900 % de profit sur tous leurs trades.

Un bug majeur dans le code de plusieurs protocoles DeFi

Gains Network est un protocole de DeFi hébergé sur Arbitrum et Polygon. Celui-ci propose du trading sur des marchés dérivés.

Comme la plupart des protocoles DeFi, le code de Gains Network a été forké à de nombreuses reprises. Ainsi, une multitude de protocoles utilisent le même code. Cependant, il y a une grande différence entre forker un protocole et savoir modifier ce dernier sans introduire de bugs.

900 % de profit assuré : retour sur un bug lucratif pour les traders de la DeFi image 0 900 % de profit assuré : retour sur un bug lucratif pour les traders de la DeFi image 1

Récemment, l’entreprise Zellic spécialisée dans la cybersécurité, a dévoilé plusieurs failles majeures dans le code de fork de Gains Network.

900 % de profit à coup sûr

Un premier bug impactait la gestion des Stop Loss et du prix de l’actif au moment de l’ouverture du trade, openPrice.

Ainsi, le système n’empêchait pas la création d’un stop loss à un prix supérieur à celui de l’open price, à savoir le prix auquel le trade était ouvert.

Par conséquent, si le prix du marché atteint le stop loss (qui est supérieure au vrai openPrice du marché) l’ordre est clôturé, générant un profit alors qu’il devrait générer une perte. En pratique, cela est dû à un mauvais calcul dans la manière dont la différence de prix est calculée.

« Le trader a commencé avec un solde initial de 10000000000 et a placé un ordre en utilisant ce montant. L’ordre a été placé de sorte que le stop loss était supérieur au prix d’ouverture lorsque l’ordre a été exécuté. Ensuite, cet ordre a été clôturé avec le type LimitOrder.SL, et l’ordre a réalisé un profit instantané de 900 % sur cet ordre (moins quelques frais de transaction). Ainsi, la faille a permis de réaliser un profit instantané de 900 % sur un ordre, peu importe comment le prix du jeton a évolué après que l’ordre a été initié. »

Mais ce n’est pas tout ! Car les équipes de Zellic ont décelé une seconde faille tout aussi critique.

Cette fois-ci c’est au niveau du calcul de profit d’un trade. Dans ce cas, la fonction qui calcule le pourcentage de profit va convertir une variable afin de calculer la différence (diff) nécessaire au calcul du profit.

Cependant, la conversion du type uint256 à int dans le code peut dans certains cas assigner la valeur -1. Cela se passe notamment lorsque le uint256 est trop grand pour être converti en int.

Dans le cas d’un ordre de vente, cela pourrait entraîner une valeur positive, résultant en un pourcentage de profit exagéré (presque 100 fois le levier).

Heureusement, les protocoles impactés, à savoir Gambit Trade ou encore Holdstation ont été avertis des failles et ont été en mesure de les corriger. Néanmoins, d’autres forks de Gains Network pourraient bien présenter les mêmes failles, mettant à risque les fonds des utilisateurs.

Il est relativement fréquent que de telles failles soient découvertes. Fort heureusement, celles-ci peuvent être découvertes avant d’avoir été exploitées. C’est notamment le cas d’une faille découverte dans l’IBC de Cosmos et qui aurait pu entraîner la perte de 126 millions de dollars .

0

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens
Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.
Bloquez maintenant !

Vous pourriez également aimer

KOMAUSDT est disponible en Futures et pour les bots de trading de Futures

Le 23 décembre 2024 (UTC+8), Bitget a lancé KOMAUSDT pour le trading de Futures avec un effet de levier maximum de 75, ainsi que les bots de trading de Futures pour cette paire. Nous vous invitons à essayer le trading de Futures via notre site officiel (www.bitget.com) ou l'application Bitget. Futu

Bitget Announcement2024/12/23 03:11

Securitize propose d'ajouter le jeton BUIDL de BlackRock comme garantie du stablecoin Frax USD

Prise rapide Securitize, le courtier pour le fonds de marché monétaire tokenisé BUIDL de BlackRock, a soumis une proposition de gouvernance visant à ajouter le jeton BUIDL comme garantie pour le stablecoin Frax USD, qui sera bientôt relancé. Le stablecoin sera doté d'un nouveau système de frappe et de rachat et pourrait également être soutenu par des actifs dans des fonds tokenisés gérés par Superstate, a déclaré Sam Kazemian, fondateur de Frax, à The Block. Bien qu'elle n'ait pas encore été soumise au vote, les premiers retours des membres de Frax DAO sur les propositions sont univ

The Block2024/12/23 00:23

Trump nomme Bo Hines, ancien joueur de football universitaire et candidat républicain à la Chambre, à la tête du conseil des cryptomonnaies

Résumé rapide Le président élu Donald Trump a annoncé que Bo Hines, un ancien joueur de football universitaire qui s'est présenté sans succès à la Chambre des représentants en 2022, dirigera son « Conseil Crypto » en tant que directeur exécutif du Conseil présidentiel des conseillers pour les actifs numériques. « Dans son nouveau rôle, Bo travaillera avec David [Sacks] pour favoriser l'innovation et la croissance dans le domaine des actifs numériques, tout en veillant à ce que les leaders de l'industrie disposent des ressources nécessaires pour réussir », a écrit Trump. Trump a également précédemment nommé Stephe

The Block2024/12/23 00:23