La plateforme NFT Gondi prend des mesures pour indemniser les utilisateurs après une faille de contrat de 230 000 $

La plateforme NFT Gondi a contenu une récente faille qui a permis à un attaquant de voler des dizaines de NFTs à plusieurs victimes, avec des pertes estimées à environ 230 000 dollars, selon Blockaid. L'équipe se concentre désormais sur le fait de « dédommager les utilisateurs affectés », selon une mise à jour publiée lundi. 

Selon une publication antérieure sur X de Gondi, l'attaque était liée à une version récemment déployée de son contrat Sell & Repay, une partie du protocole de prêt NFT de Gondi qui permet aux emprunteurs de vendre des NFTs en séquestre et de rembourser automatiquement les prêts lors d'une transaction groupée. 

Une nouvelle version du contrat a été déployée le 20 février, introduisant apparemment une logique défectueuse dans sa fonction "Purchase Bundler" qui ne vérifiait pas correctement si l'appelant du contrat était le véritable propriétaire ou emprunteur du NFT. 

Selon Etherscan, environ 78 NFTs ont été drainés au cours d'une quarantaine de transactions vers une adresse désormais étiquetée comme GONDI Exploiter. Cela inclut un transfert de 44 tokens Art Blocks, 10 Doodles, 2 Beeple’s “Spring Collection” et d'autres marques NFT de valeur.

Le collectionneur de NFT tinoch a estimé qu'une seule victime potentielle aurait perdu environ 55 ETH, d'une valeur d'environ 108 000 dollars au moment de l'observation. 

« La fonctionnalité Sell & Repay reste désactivée pendant que nous déployons une correction. Toutes les autres fonctionnalités sont entièrement opérationnelles, » a déclaré Gondi. L'équipe a précisé que la faille était limitée et que les NFTs engagés dans des prêts actifs « n'ont pas été affectés, à aucun moment. » De même, les autres fonctionnalités d'achat, de vente, de mise en vente, d'enchères et de trading de la plateforme n'ont pas été impactées. 

Gondi a indiqué que toutes les activités sur la plateforme pouvaient reprendre en toute sécurité, y compris le remboursement, la renégociation et le refinancement des prêts, la création de nouveaux prêts, la mise en vente de NFTs, l'achat, l'acceptation d'enchères et le trading.

Cette mise à jour est revenue sur une publication antérieure qui mettait en garde les utilisateurs contre toute interaction avec la plateforme. Selon l'annonce, Blockaid et un auditeur indépendant ont examiné le protocole depuis l'attaque.

Mises à jour sur la restitution

Gondi a déjà pris des mesures pour rembourser les utilisateurs impactés, notamment en contactant ceux qui ont interagi avec le contrat vulnérable.

L'équipe a également retrouvé plusieurs NFTs volés qui ont été achetés par des acquéreurs apparemment non conscients de l'exploitation afin de les restituer à leurs propriétaires d'origine. 

De plus, Gondi a commencé à utiliser les frais du protocole pour acquérir des « objets comparables » issus des collections 1/1-of-X afin de compenser les pertes des utilisateurs affectés. « Bien qu’il ne s’agisse pas exactement de la même pièce, nous pensons que c’est une solution équitable et significative et nous coordonnons directement avec chaque propriétaire, » a écrit Gondi. De même, l’équipe est « en discussions actives avec les parties concernées » ayant perdu des NFTs uniques qui n’ont pas pu être facilement remplacés.

The Block a contacté Gondi pour un commentaire.

Gondi est un marché de liquidité NFT décentralisé et non dépositaire, et un protocole de prêt permettant aux utilisateurs de déposer des NFTs comme garantie pour obtenir des prêts, de prêter des actifs pour gagner des intérêts sur ces prêts et de refinancer leurs positions NFT.