NFT平台Gondi在遭受23萬美元合約攻擊後採取行動補償用戶

據 Blockaid 表示，NFT 平台 Gondi 已經遏止了近期的一起漏洞攻擊，此次攻擊使攻擊者從數位受害者那裡竊取了數十枚 NFT，損失預估約為 230,000 美元。根據週一的最新消息，團隊目前正專注於「讓受影響用戶得到完全補償」。 

根據 Gondi 早前於 X 的貼文，這次攻擊與最近部署的 Sell & Repay 合約版本有關，該合約是 Gondi NFT 借貸協議的一部分，允許借款人出售託管的 NFT 並自動在單一交易中還款。 

新的合約版本於 2 月 20 日部署，顯然在其「Purchase Bundler」功能中引入了錯誤的邏輯，未正確檢查合約調用者是否為 NFT 的合法持有人或借款人。 

根據 Etherscan 數據，約 78 枚 NFT 在約 40 筆交易中被轉移到現已標記為 GONDI Exploiter 的地址。其中包括 44 枚 Art Blocks 代幣、10 枚 Doodles、2 枚 Beeple 的「Spring Collection」，以及其他價值不菲的 NFT 品牌。

NFT 收藏家 tinoch 估算，單一受害者可能就損失約 55 枚 ETH，按當時匯率計算約為 108,000 美元。 

「Sell & Repay 功能仍然維持關閉，直至我們部署修正版本，其餘所有功能均可正常運作，」Gondi 表示。團隊指出，這次漏洞事件範圍有限，且在任何時點上，進行中的 NFT 貸款均「未受任何影響」。同時，平台其他購買、銷售、上架、出價及交易功能也皆未受影響。 

Gondi 表示，所有平台活動均可安全恢復，包括還款、重新協商及再融資貸款、啟動新貸款、上架出售 NFT、購買、接受出價及交易。

此項公告推翻了早先建議用戶暫停與平台互動的聲明。據公告稱，自攻擊發生後，Blockaid 及獨立審計機構已對該協議進行檢查。

賠償進展

Gondi 已經開始向受影響用戶進行賠償，包括聯繫與漏洞合約互動過的用戶。

團隊亦追查到部分由無意中購買被竊 NFT 的買家持有的 NFT，並協助將 NFT 歸還給原持有者。 

此外，Gondi 也已動用協議費用從 1/1-of-X 收藏中購回「同等品項」，以彌補受影響用戶的損失。「雖然並非原物，我們認為這是公平且具意義的解決方式，並已與每位擁有者直接協調，」Gondi 表示。同時，團隊亦積極與那些遺失難以替代的一對一 NFT 的相關當事人進行溝通。

The Block 已聯繫 Gondi 以獲取回應。

Gondi 為一個去中心化、非託管型 NFT 流動性市場及借貸協議，允許用戶將 NFT 作為抵押品進行借貸、向他人放貸以賺取利息，並可對自身 NFT 倉位進行再融資。