Платформа NFT Gondi вживає заходів для повного відшкодування користувачам після експлойту контракту на $230 000

NFT платформа Gondi локалізувала недавню експлуатацію, яка дозволила зловмиснику викрасти десятки NFT у декількох жертв, із втратами, оціненими приблизно у $230,000, за інформацією Blockaid. Команда наразі зосереджена на тому, щоб "повністю відшкодувати постраждалим користувачам", згідно з оновленням у понеділок. 

Згідно з попередньою публікацією X від Gondi, атака була пов’язана з нещодавно розгорнутою версією контракту Sell & Repay, що є частиною NFT кредитного протоколу Gondi і дозволяє позичальникам продавати NFT, які знаходяться в ескроу, і автоматично погашати кредити у складі однієї транзакції. 

Нова версія контракту була розгорнута 20 лютого, ймовірно, додавши помилкову логіку у функцію "Purchase Bundler", яка неналежним чином перевіряла, чи є викликаючий контракту легітимним власником або позичальником NFT. 

Згідно з Etherscan, близько 78 NFT було виведено через приблизно 40 транзакцій на адресу, яка наразі позначена як GONDI Exploiter. До цього входить передача 44 токенів Art Blocks, 10 Doodles, 2 Beeple’s “Spring Collection” та інших цінних NFT-брендів.

Колекціонер NFT tinoch оцінив, що одна потенційна жертва втратила близько 55 ETH, що на момент спостереження становило приблизно $108,000. 

“Функція Sell & Repay залишається відключеною, поки ми впроваджуємо виправлення. Вся інша функціональність повністю працює”, повідомляє Gondi. Команда зазначила, що експлуатація була обмеженою, а NFT у діючих кредитах “не постраждали жодним чином”. Так само, інші функції платформи щодо купівлі, продажу, розміщення, ставок і торгівлі не були порушені. 

Gondi зазначила, що всі дії на платформі можна безпечно поновити, включаючи погашення, перегляд та рефінансування кредитів, старт нових кредитів, розміщення NFT на продаж, купівлю, приймання ставок та торгівлю.

Оновлення скасувало попередню публікацію, що застерігала користувачів від взаємодії з платформою. За повідомленням, Blockaid та незалежний аудитор переглянули протокол після атаки.

Оновлення щодо відшкодування

Gondi вже вжила заходів для компенсації постраждалим користувачам, включаючи звернення до тих, хто взаємодіяв із вразливим контрактом.

Команда також відстежила кілька викрадених NFT, придбаних покупцями, які, ймовірно, не знали про експлуатацію, щоб повернути їх оригінальним власникам. 

Крім того, Gondi почала використовувати протокольні комісії для купівлі "співставних предметів" з колекцій 1/1-of-X, щоб компенсувати втрати постраждалим користувачам. "Хоч це не той самий твір, ми вважаємо це справедливим та значущим рішенням і координуємо його безпосередньо з кожним власником", написали в Gondi. Так само команда "активно веде переговори з відповідними сторонами", які втратили унікальні NFT, що не можуть бути легко замінені.

The Block звернувся до Gondi за коментарями.

Gondi — це децентралізований некостодіальний NFT маркетплейс ліквідності та кредитний протокол, який дозволяє користувачам розміщувати NFT як забезпечення для кредитів, здійснювати кредитування активів для отримання відсотків по цих кредитах та рефінансувати свої NFT-позиції.