Plataforma de NFT Gondi toma medidas para ressarcir usuários após exploit de contrato de $230.000

A plataforma de NFT Gondi conseguiu conter uma recente exploração que permitiu a um atacante roubar dezenas de NFTs de várias vítimas, com perdas estimadas em cerca de US$ 230.000, de acordo com Blockaid. A equipe está agora focada em “compensar totalmente os usuários afetados”, conforme informou em uma atualização nesta segunda-feira. 

Segundo uma publicação anterior no X da Gondi, o ataque esteve relacionado a uma versão recentemente implementada de seu contrato Sell & Repay, parte do protocolo de empréstimo de NFT da Gondi que permite que tomadores vendam NFTs em custódia e quitem automaticamente empréstimos em uma transação agrupada. 

Uma nova versão do contrato foi implementada em 20 de fevereiro, aparentemente introduzindo uma lógica defeituosa na função “Purchase Bundler” que não verificava adequadamente se o chamador do contrato era o proprietário ou tomador legítimo de um NFT. 

De acordo com o Etherscan, cerca de 78 NFTs foram drenados em aproximadamente 40 transações para um endereço agora rotulado como GONDI Exploiter. Isso inclui uma transferência de 44 tokens Art Blocks, 10 Doodles, 2 NFTs da coleção “Spring Collection” de Beeple, e outras marcas de NFT valiosas.

O colecionador de NFT tinoch estimou que uma das potenciais vítimas perdeu sozinho cerca de 55 ETH, equivalente a aproximadamente US$ 108.000 no momento da observação. 

“A função Sell & Repay permanece desativada enquanto implementamos uma correção. Todas as demais funcionalidades estão plenamente operacionais”, comunicou a Gondi. A equipe observou que a exploração foi limitada e que NFTs em empréstimos ativos “não foram afetados em nenhum momento”. Da mesma forma, as outras funções de compra, venda, listagem, oferta e negociação da plataforma não foram impactadas. 

Gondi afirmou que todas as atividades da plataforma podem ser retomadas com segurança, incluindo pagamentos, negociações e refinanciamentos de empréstimos, início de novas linhas de crédito, listagem de NFTs à venda, compras, aceitação de propostas e negociações.

A atualização reverteu uma publicação anterior que alertava os usuários a não interagirem com a plataforma. Segundo o comunicado, Blockaid e um auditor independente revisaram o protocolo após o ataque.

Atualizações sobre restituição

Gondi já tomou medidas para reembolsar os usuários afetados, incluindo entrar em contato com aqueles que interagiram com o contrato vulnerável.

A equipe também rastreou vários NFTs roubados comprados por compradores aparentemente inconscientes da exploração para devolvê-los aos seus proprietários originais. 

Além disso, a Gondi começou a utilizar taxas do protocolo para adquirir “itens comparáveis” de coleções do tipo 1/1-of-X, a fim de compensar as perdas dos usuários afetados. “Embora não seja exatamente a mesma peça, acreditamos que esta é uma resolução justa e significativa, e estamos coordenando diretamente com cada proprietário”, escreveu a Gondi. Da mesma forma, a equipe está “em discussões ativas com as partes relevantes” que perderam NFTs únicos que não puderam ser facilmente substituídos.

O The Block entrou em contato com a Gondi para comentar.

A Gondi é um marketplace descentralizado de liquidez de NFTs e um protocolo de empréstimo não-custodial que permite aos usuários postar NFTs como garantia para empréstimos, emprestar ativos para obter juros nesses empréstimos e refinanciar suas posições com NFTs.