Platforma NFT Gondi podejmuje działania, aby wynagrodzić użytkownikom straty po exploicie kontraktu o wartości 230 000 USD

Platforma NFT Gondi opanowała niedawny exploit, który pozwolił atakującemu ukraść dziesiątki NFT od kilku poszkodowanych, a straty szacowane są na około 230 000 USD, według Blockaid. Zespół skupia się teraz na "zrekompensowaniu użytkowników dotkniętych atakiem", zgodnie z poniedziałkową aktualizacją. 

Według wcześniejszego posta na X od Gondi, atak był powiązany z niedawno wdrożoną wersją kontraktu Sell & Repay, będącego częścią protokołu pożyczkowego NFT Gondi, który pozwala pożyczkobiorcom sprzedać escrowowane NFT i automatycznie spłacić pożyczki w ramach jednej transakcji. 

Nowa wersja kontraktu została wdrożona 20 lutego, najwyraźniej wprowadzając wadliwą logikę w funkcji "Purchase Bundler", która nie sprawdzała poprawnie, czy wywołujący kontrakt jest prawowitym właścicielem lub pożyczkobiorcą NFT. 

Według Etherscan, około 78 NFT zostało usuniętych w ramach około 40 transakcji na adres obecnie oznaczony jako GONDI Exploiter. Obejmuje to transfer 44 tokenów Art Blocks, 10 Doodles, 2 Beeple’s “Spring Collection” oraz innych wartościowych marek NFT.

Kolekcjoner NFT tinoch oszacował, że jeden potencjalny poszkodowany stracił sam 55 ETH, wartych około 108 000 USD w momencie obserwacji. 

„Funkcja Sell & Repay pozostaje wyłączona podczas wdrażania poprawki. Wszystkie inne funkcje są w pełni operacyjne,” powiedział Gondi. Zespół zaznaczył, że exploit był ograniczony i NFT będące w aktywnych pożyczkach “nie zostały dotknięte, w żadnym momencie”. Podobnie, pozostałe funkcje platformy, takie jak kupowanie, sprzedawanie, wystawianie, licytacje oraz handel, nie zostały naruszone. 

Gondi poinformował, że można bezpiecznie wznowić wszystkie działania na platformie, w tym spłacanie, renegocjowanie i refinansowanie pożyczek, rozpoczynanie nowych pożyczek, wystawianie NFT na sprzedaż, kupowanie, przyjmowanie ofert i handel.

Aktualizacja odwróciła wcześniejszy post ostrzegający użytkowników przed interakcją z platformą. Według ogłoszenia, Blockaid oraz niezależny audytor przeanalizowali protokół po ataku.

Aktualizacje dotyczące rekompensat

Gondi już podjął działania w celu spłaty użytkowników dotkniętych atakiem, w tym kontaktując się z osobami, które weszły w interakcję z podatnym kontraktem.

Zespół odnalazł również kilka skradzionych NFT zakupionych przez kupujących, którzy najprawdopodobniej nie byli świadomi exploitu, aby zwrócić je pierwotnym właścicielom. 

Ponadto, Gondi rozpoczął wykorzystywanie opłat protokołowych do zakupu "porównywalnych przedmiotów" z kolekcji 1/1-of-X, aby zrekompensować straty poszkodowanym użytkownikom. "Chociaż nie są to dokładnie te same egzemplarze, uważamy, że jest to sprawiedliwe i znaczące rozwiązanie i bezpośrednio koordynujemy się z każdym właścicielem," napisał Gondi. Podobnie, zespół "prowadzi aktywne rozmowy z odpowiednimi stronami", które utraciły unikatowe NFT, których nie można łatwo zastąpić.

The Block zwrócił się do Gondi o komentarz.

Gondi to zdecentralizowany, niepowierniczy rynek płynności NFT oraz protokół pożyczkowy, który pozwala użytkownikom wystawiać NFT jako zabezpieczenie pożyczek, udzielać aktywa, aby zarabiać odsetki od tych pożyczek oraz refinansować swoje pozycje NFT.