Ang NFT platform na Gondi ay kumikilos upang mabayaran ang mga user matapos ang $230,000 na exploit sa kontrata

Na-kontrol ng NFT platform na Gondi ang kamakailang exploit na nagbigay-daan sa isang attacker na magnakaw ng dose-dosenang NFT mula sa ilang biktima, na tinatayang umabot sa $230,000 ang nalugi, ayon sa Blockaid. Ayon sa update nitong Lunes, nakatuon na ngayon ang team sa paggawa ng "kabuuang bayad" sa mga apektadong user. 

Ayon sa naunang post sa X ng Gondi, ang attack ay kaugnay sa kamakailan lang inilunsad na version ng Sell & Repay contract, bahagi ng NFT lending protocol ng Gondi na nagpapahintulot sa borrowers na ibenta ang naka-escrow na NFT at awtomatikong bayaran ang mga loan sa isang bundled na transaksyon. 

Isang bagong bersyon ng contract ang inilunsad noong Pebrero 20, na tila nagpakilala ng mali ang lohika sa "Purchase Bundler" function kung saan hindi nito tama na nache-check kung ang tumatawag sa contract ay ang lehitimong owner o borrower ng NFT. 

Ayon sa Etherscan, humigit-kumulang 78 NFT ang nawala sa halos 40 transaksyon sa isang address na ngayo'y tinukoy bilang GONDI Exploiter. Kabilang dito ang paglilipat ng 44 Art Blocks tokens, 10 Doodles, 2 Beeple’s “Spring Collection,” at iba pang mahahalagang NFT brands.

Tinayang ng NFT collector na si tinoch na may isang biktima pa lamang na nawalan ng humigit-kumulang 55 ETH, na nasa $108,000 ang halaga sa panahong napansin ito. 

"Mananatiling disabled ang Sell & Repay feature habang inilalabas namin ang ayos. Lahat ng iba pang functionality ay tuluyang gumagana,” sabi ng Gondi. Tinukoy ng team na ang exploit ay limitado lamang at ang mga NFT sa aktibong loan ay “hindi naapektuhan, sa anumang punto.” Gayundin, ang iba pang features ng platform gaya ng pagbili, pagbebenta, paglista, pagbi-bid, at pag-trade ay hindi naapektuhan. 

Ipinahayag ng Gondi na ligtas na muling simulan ang lahat ng aktibidad sa platform, kabilang ang pagbayad, pag-renegotiate at pag-refinance ng loans, pagsisimula ng bagong loans, paglista ng NFT para ibenta, pagbili, pagtanggap ng bid at pag-trade.

Binasura ng update ang naunang post na nagbabala sa mga user na iwasan munang makipag-transact sa platform. Ayon sa anunsyo, nirepaso na ng Blockaid at isang independent auditor ang protocol mula nang mangyari ang attack.

Mga update sa Restitution

Nagsagawa na ang Gondi ng mga hakbang para bayaran ang mga naapektuhang user, kabilang ang pakikipag-ugnayan sa mga nakasalamuha sa vulnerable contract.

Naitunton din ng team ang ilang ninakaw na NFT na nabili ng mga bumiling tila hindi alam ang exploit upang maibalik ang mga ito sa orihinal na may-ari. 

Dagdag pa, nagsimula nang gamitin ng Gondi ang protocol fees upang bumili ng mga "comparable items" mula sa 1/1-of-X collections upang mabawasan ang pagkalugi ng mga apektadong user. "Bagamat hindi ito ang eksaktong parehong piraso, naniniwala kaming makatarungan at makabuluhan itong solusyon at nakikipag-ugnayan kami diretso sa bawat may-ari," sulat ng Gondi. Katulad nito, “aktibong nakikipag-usap ang team sa mga kaukulang partido” na nawalan ng one-of-one NFT na hindi madaling mapalitan.

Nakipag-ugnayan ang The Block sa Gondi para sa komento.

Ang Gondi ay isang decentralized, non-custodial NFT liquidity marketplace at lending protocol na nagpapahintulot sa mga user na gamitin ang kanilang NFT bilang collateral sa loans, magpautang ng asset upang kumita ng interest, at muling i-refinance ang kanilang NFT positions.