Platform NFT Gondi bergerak untuk mengganti kerugian pengguna setelah eksploitasi kontrak senilai $230.000

Platform NFT Gondi telah berhasil menahan eksploitasi terbaru yang memungkinkan seorang penyerang mencuri puluhan NFT dari beberapa korban, dengan kerugian yang diperkirakan sekitar $230.000, menurut Blockaid. Tim sekarang fokus untuk "mengembalikan kerugian pengguna yang terdampak," menurut pembaruan pada hari Senin. 

Menurut postingan X sebelumnya dari Gondi, serangan ini terkait dengan versi terbaru dari kontrak Sell & Repay-nya, yang merupakan bagian dari protokol peminjaman NFT Gondi yang memungkinkan peminjam menjual NFT yang dijaminkan dan secara otomatis membayar kembali pinjaman dalam satu transaksi gabungan. 

Versi baru kontrak tersebut di-deploy pada 20 Februari, yang tampaknya memperkenalkan logika yang salah dalam fungsi "Purchase Bundler" yang tidak memeriksa dengan benar apakah pemanggil kontrak adalah pemilik sah atau peminjam NFT. 

Menurut Etherscan, sekitar 78 NFT telah disedot melalui sekitar 40 transaksi ke alamat yang kini diberi label sebagai GONDI Exploiter. Ini termasuk transfer 44 token Art Blocks, 10 Doodles, 2 koleksi “Spring Collection” milik Beeple, dan merek NFT berharga lainnya.

Kolektor NFT tinoch memperkirakan bahwa satu korban potensial saja kehilangan sekitar 55 ETH, yang bernilai sekitar $108.000 pada saat pengamatan. 

“Fitur Sell & Repay tetap dinonaktifkan saat kami menerapkan perbaikan. Semua fungsi lainnya tetap berjalan normal,” kata Gondi. Tim mencatat bahwa eksploitasi ini bersifat terbatas dan NFT dalam status pinjaman aktif "tidak terdampak sama sekali". Begitu pula, fitur lainnya seperti membeli, menjual, membuat listing, bidding, dan trading di platform tidak terkena dampak. 

Gondi mengatakan bahwa seluruh aktivitas di platform kini aman untuk dilanjutkan, termasuk pelunasan, negosiasi ulang dan refinancing pinjaman, memulai pinjaman baru, serta listing NFT untuk penjualan, pembelian, menerima bid, dan trading.

Pembaruan ini membatalkan postingan sebelumnya yang memperingatkan pengguna agar tidak berinteraksi dengan platform. Menurut pengumuman, Blockaid dan auditor independen telah meninjau protokol tersebut sejak terjadi serangan.

Pembaruan Penggantian Kerugian

Gondi telah mengambil langkah untuk mengganti rugi pengguna yang terdampak, termasuk menghubungi mereka yang berinteraksi dengan kontrak yang rentan.

Tim juga telah melacak beberapa NFT yang dicuri dan dibeli oleh pembeli yang tampaknya tidak menyadari eksploitasi tersebut untuk dikembalikan kepada pemilik aslinya. 

Selain itu, Gondi telah mulai menggunakan biaya protokol untuk membeli "barang sebanding" dari koleksi 1/1-of-X guna menutupi kerugian pengguna yang terdampak. "Meskipun bukan barang yang persis sama, kami percaya ini adalah solusi yang adil dan berarti serta kami berkoordinasi langsung dengan setiap pemilik," tulis Gondi. Demikian juga, tim sedang "berdiskusi aktif dengan pihak terkait" yang kehilangan NFT one-of-one yang tidak dapat digantikan dengan mudah.

The Block telah menghubungi Gondi untuk meminta komentar.

Gondi adalah pasar likuiditas NFT terdesentralisasi dan protokol peminjaman non-kustodial yang memungkinkan pengguna untuk menjaminkan NFT sebagai agunan pinjaman, meminjamkan aset untuk mendapatkan bunga dari pinjaman tersebut, dan melakukan refinancing posisi NFT mereka.