Nền tảng NFT Gondi thực hiện các biện pháp để bồi thường người dùng sau khi bị khai thác hợp đồng trị giá 230.000 đô la

Nền tảng NFT Gondi đã kiểm soát được một lỗ hổng gần đây cho phép kẻ tấn công đánh cắp hàng chục NFT từ nhiều nạn nhân, với tổng thiệt hại ước tính khoảng 230.000 đô la, theo Blockaid. Hiện tại đội ngũ đang tập trung vào việc "bồi thường đầy đủ cho những người dùng bị ảnh hưởng", theo cập nhật vào thứ Hai. 

Theo một bài đăng trên X trước đó từ Gondi, vụ tấn công có liên quan đến phiên bản vừa được triển khai của hợp đồng Sell & Repay, một phần trong giao thức cho vay NFT của Gondi cho phép người vay bán NFT ký quỹ và tự động hoàn trả khoản vay trong một giao dịch gộp. 

Một phiên bản mới của hợp đồng đã được triển khai vào ngày 20 tháng 2, dường như đã đưa vào logic sai trong chức năng "Purchase Bundler" khi không kiểm tra đúng liệu người gọi hợp đồng có phải là chủ sở hữu hoặc người vay hợp pháp của NFT hay không. 

Theo Etherscan, khoảng 78 NFT đã bị đánh cắp qua khoảng 40 giao dịch tới một địa chỉ hiện được gắn nhãn là GONDI Exploiter. Bao gồm việc chuyển 44 token Art Blocks, 10 Doodles, 2 Beeple’s “Spring Collection,” và các thương hiệu NFT giá trị khác.

Nhà sưu tập NFT tinoch ước tính rằng chỉ một nạn nhân tiềm năng đã mất khoảng 55 ETH, trị giá khoảng 108.000 đô la tại thời điểm quan sát. 

“Tính năng Sell & Repay vẫn đang bị vô hiệu hóa trong khi chúng tôi triển khai bản sửa lỗi. Tất cả các chức năng khác vẫn hoạt động bình thường,” Gondi cho biết. Nhóm cũng lưu ý rằng sự cố khai thác chỉ giới hạn ở quy mô nhỏ và các NFT đang trong khoản vay hoạt động “hoàn toàn không bị ảnh hưởng”. Tương tự, các tính năng mua bán, niêm yết, đặt giá và giao dịch khác của nền tảng không bị ảnh hưởng. 

Gondi cho biết toàn bộ hoạt động trên nền tảng hiện đã an toàn để tiếp tục, bao gồm việc hoàn trả, đàm phán lại và tái tài trợ khoản vay, bắt đầu khoản vay mới, niêm yết NFT để bán, mua, chấp nhận đặt giá và giao dịch.

Bản cập nhật này đã đảo ngược một bài đăng trước đó cảnh báo người dùng không nên tương tác với nền tảng. Theo thông báo, Blockaid và một kiểm toán viên độc lập đã xem xét lại giao thức sau vụ tấn công.

Cập nhật về bồi thường

Gondi đã thực hiện các bước để hoàn trả cho người dùng bị ảnh hưởng, bao gồm liên hệ trực tiếp với những người đã từng tương tác với hợp đồng gặp lỗ hổng.

Nhóm cũng đã lần ra một số NFT bị đánh cắp được mua bởi những người mua có vẻ không biết về lỗ hổng để trả lại cho chủ sở hữu ban đầu. 

Thêm vào đó, Gondi đã bắt đầu sử dụng phí giao thức để mua các "vật phẩm tương đương" từ các bộ sưu tập 1/1-of-X nhằm bù đắp thiệt hại cho người dùng bị ảnh hưởng. “Dù không phải là đúng tác phẩm đó, chúng tôi tin rằng đây là phương án công bằng và có ý nghĩa, và chúng tôi đang phối hợp trực tiếp với từng chủ sở hữu,” Gondi viết. Tương tự, nhóm “đang tích cực thảo luận với các bên liên quan” đã mất các NFT độc nhất mà không thể dễ dàng thay thế.

The Block đã liên hệ với Gondi để xin bình luận.

Gondi là một thị trường thanh khoản NFT phi tập trung, không lưu ký và giao thức cho vay cho phép người dùng sử dụng NFT làm tài sản thế chấp để vay vốn, cho vay tài sản để nhận lãi suất và tái tài trợ vị thế NFT của họ.