NFTプラットフォームGondi、23万ドル契約エクスプロイト後にユーザーを全額補償へ

NFTプラットフォームのGondiは、攻撃者が複数の被害者から数十点のNFTを盗み出すことを可能にした最近のエクスプロイトを封じ込めたと、Blockaidによって報告されました。損失は約23万ドルと見積もられています。月曜日の最新情報によれば、チームは現在「影響を受けたユーザーの補償」に注力しているとのことです。

Gondiの以前のX（旧Twitter）での投稿によると、この攻撃は最近展開されたSell & Repayコントラクトのバージョンに関連しており、これは借り手がエスクロー中のNFTを販売し、ローンを自動的にバンドル取引で返済できるGondiのNFTレンディングプロトコルの一部です。

2月20日に新しいバージョンのコントラクトが展開され、「Purchase Bundler」機能に不具合のあるロジックが導入され、コントラクトの呼び出し者がNFTの正当な所有者または借り手であるかどうかが正しくチェックされていませんでした。

Etherscanによると、合計で約78点のNFTが約40件のトランザクションを通じて、現在GONDI Exploiterとラベル付けされているアドレスに流出しています。これには44点のArt Blocksトークン、10点のDoodles、Beepleの“Spring Collection”が2点、その他の高価値なNFTブランドが含まれます。

NFTコレクターのtinochは、1人の被害者だけで約55 ETH（観測時点で約108,000ドル相当）を失ったと推定しました。

「Sell & Repay機能は修正が展開されるまで引き続き無効化されています。他のすべての機能は完全に稼働しています」とGondiは述べています。チームはこのエクスプロイトが限定的であったこと、アクティブローン中のNFTは「いかなる時点でも影響を受けなかった」と指摘しています。同様に、プラットフォームの他の購入、販売、リスティング、入札、トレード機能も影響を受けませんでした。

Gondiは、ローンの返済、再交渉、借り換え、新規ローンの開始、NFTの販売リスト、購入、入札の受け入れやトレードなど、すべてのプラットフォームアクティビティを安全に再開できると発表しました。

この更新は、プラットフォームとのインタラクションをユーザーに警告していた以前の投稿を撤回するものです。発表によれば、Blockaidおよび独立した監査人が攻撃後にプロトコルをレビューしました。

償還に関する最新情報

Gondiは、脆弱なコントラクトとインタラクションしたユーザーに連絡するなど、影響を受けたユーザーへの返済措置をすでに開始しています。

チームはまた、エクスプロイトに気付いていなかった購入者によって購入された複数の盗難NFTを追跡し、それらを元の所有者に返還しています。

さらに、Gondiは1/1-of-Xコレクションから「同等品」をプロトコル手数料で購入し、影響を受けたユーザーの損失を補填し始めています。「全く同じ作品ではないものの、公平で意味のある解決策と考えており、それぞれの所有者と直接調整しています」とGondiは述べました。同様に、簡単に代替できない1/1 NFTを失った関係者とは「積極的に協議中」としています。

The Blockは、Gondiにコメントを求めています。

Gondiは分散型・ノンカストディアルのNFT流動性マーケットプレイスおよびレンディングプロトコルで、ユーザーはNFTを担保としてローンを組むことや、ローンに対して資産を貸し出して利息を得ること、NFTポジションのリファイナンスなどが可能です。