La plataforma de NFT Gondi toma medidas para compensar a los usuarios tras un exploit de contrato de $230.000

La plataforma de NFT Gondi ha contenido una reciente vulnerabilidad que permitió a un atacante robar decenas de NFTs de varias víctimas, con pérdidas estimadas en aproximadamente $230,000, según Blockaid. El equipo ahora se está enfocando en "compensar por completo a los usuarios afectados", según una actualización realizada el lunes. 

De acuerdo con una publicación anterior en X de Gondi, el ataque estuvo relacionado con una versión recientemente desplegada de su contrato Sell & Repay, una parte del protocolo de préstamos de NFT de Gondi que permite a los prestatarios vender NFTs en custodia y repagar automáticamente los préstamos en una transacción combinada. 

Una nueva versión del contrato se desplegó el 20 de febrero, aparentemente introduciendo una lógica defectuosa en su función "Purchase Bundler" que no verificaba correctamente si quien llamaba al contrato era el propietario legítimo o prestatario del NFT. 

Según Etherscan, cerca de 78 NFTs fueron drenados a través de unas 40 transacciones a una dirección ahora etiquetada como GONDI Exploiter. Esto incluye una transferencia de 44 tokens de Art Blocks, 10 Doodles, 2 tokens de la “Spring Collection” de Beeple y otras marcas valiosas de NFTs.

El coleccionista de NFT tinoch estimó que una sola víctima potencial perdió cerca de 55 ETH, con un valor aproximado de $108,000 al momento de la observación. 

“La función Sell & Repay permanece deshabilitada mientras desplegamos una solución. Todas las demás funciones están completamente operativas,” dijo Gondi. El equipo señaló que la vulnerabilidad estuvo limitada y que los NFTs en préstamos activos “no se vieron afectados, en ningún momento”. Asimismo, las demás funciones de la plataforma como comprar, vender, listar, ofertar y comerciar no fueron afectadas. 

Gondi indicó que toda la actividad en la plataforma es segura para reanudar, incluyendo repagos, renegociaciones y refinanciaciones de préstamos, iniciar nuevos préstamos, listar NFTs a la venta, comprar, aceptar ofertas y hacer trading.

La actualización revirtió una publicación anterior que advertía a los usuarios evitar interactuar con la plataforma. Según el anuncio, Blockaid y un auditor independiente revisaron el protocolo después del ataque.

Actualizaciones sobre la restitución

Gondi ya ha tomado medidas para compensar a los usuarios afectados, incluyendo contactar a aquellos que interactuaron con el contrato vulnerable.

El equipo también ha rastreado varios NFTs robados que fueron comprados por compradores aparentemente ajenos a la vulnerabilidad para devolverlos a sus propietarios originales. 

Además, Gondi ha comenzado a utilizar las comisiones del protocolo para adquirir "ítems comparables" de colecciones 1/1-of-X para compensar las pérdidas de los usuarios afectados. "Si bien no es la misma pieza exacta, consideramos que es una resolución justa y significativa y estamos coordinando directamente con cada propietario", escribió Gondi. De manera similar, el equipo está "en conversaciones activas con las partes relevantes" que perdieron NFTs únicos que no pudieron ser reemplazados fácilmente.

The Block se puso en contacto con Gondi para hacer comentarios.

Gondi es un mercado de liquidez NFT descentralizado y no custodiado, y un protocolo de préstamos que permite a los usuarios poner NFTs como garantía para préstamos, prestar activos para ganar intereses en esos préstamos y refinanciar sus posiciones de NFT.