NFT-платформа Gondi принимает меры для компенсации пользователям после эксплойта контракта на 230 000 долларов

NFT-платформа Gondi справилась с недавней уязвимостью, которая позволила злоумышленнику украсть десятки NFT у нескольких пользователей, убытки оцениваются примерно в $230 000, согласно данным Blockaid. Сейчас команда сосредоточена на том, чтобы «в полной мере возместить потерпевшим», согласно обновлению в понедельник. 

Как сообщалось ранее в посте X от Gondi, атака была связана с недавно внедрённой версией контракта Sell & Repay, который является частью протокола предоставления займов под NFT и позволяет заёмщикам продавать заложенные NFT с автоматическим погашением займа в одной операции. 

Новая версия контракта была размещена 20 февраля и, по всей видимости, в функцию "Purchase Bundler" была внесена ошибочная логика, которая не проверяла должным образом, является ли вызывающий контракт легитимным владельцем или заёмщиком NFT. 

Согласно Etherscan, около 78 NFT было выведено через примерно 40 транзакций на адрес, который сейчас отмечен как GONDI Exploiter. В числе украденного — перевод 44 токенов Art Blocks, 10 Doodles, 2 работы Beeple из “Spring Collection” и другие ценные NFT-коллекции.

NFT-коллекционер tinoch оценил, что только один из возможных пострадавших потерял около 55 ETH, что на момент фиксации составляло примерно $108 000. 

«Функция Sell & Repay остаётся отключённой, пока мы работаем над исправлением. Весь остальной функционал полностью работоспособен», — заявили в Gondi. Команда отметила, что эксплойт был ограничен, и NFT, находящиеся в активных займах, «не пострадали ни в какой момент». Аналогично, все остальные функции платформы по покупке, продаже, листингу, ставкам и трейдингу не были затронуты. 

В Gondi сообщили, что всё взаимодействие с платформой, в том числе погашение, пересогласование и рефинансирование займов, оформление новых займов, листинг, покупка, принятие ставок и торговля NFT — безопасно и может быть возобновлено.

Обновление отменяет более раннее сообщение, в котором пользователям рекомендовалось воздержаться от взаимодействий с платформой. Согласно анонсу, после атаки протокол был проверен Blockaid и независимым аудитором.

Обновление по возмещению ущерба

Gondi уже предприняла шаги по компенсации пострадавших пользователей, в том числе связавшись с теми, кто взаимодействовал с уязвимым контрактом.

Команда также разыскала несколько украденных NFT, купленных покупателями, которые, по-видимому, не знали об эксплойте, чтобы вернуть их их изначальным владельцам. 

Кроме того, Gondi начала использовать комиссионные протокола для покупки «аналогичных предметов» из коллекций 1/1-of-X в целях возмещения убытков для пострадавших пользователей. «Хотя это не тот же самый предмет, мы считаем это справедливым и значимым решением и взаимодействуем напрямую с каждым владельцем», — говорится в заявлении Gondi. Аналогично, команда ведёт «активные переговоры с соответствующими сторонами», которые потеряли уникальные NFT, которые невозможно просто так заменить.

The Block направила запрос Gondi для комментариев.

Gondi — это децентрализованная, некастодиальная площадка ликвидности для NFT и протокол по займам, который позволяет пользователям размещать NFT в качестве залога для получения займов, выдавать займы под проценты, а также рефинансировать свои позиции по NFT.