Gondi tras una brecha de 230,000 dólares inicia compensación, recupera NFT robados y devuelve a su propietario

NFT préstamo y préstamo Gondi anunció el 9 de marzo que está tomando medidas activas para compensar a los usuarios que sufrieron pérdidas debido a una vulnerabilidad en el contrato inteligente. Según la firma de seguridad Blockaid, los atacantes aprovecharon la vulnerabilidad para robar aproximadamente 78 NFT de múltiples víctimas, con una pérdida estimada de unos 230,000 dólares. Gondi indicó que, además de un defecto lógico en la nueva versión del contrato “Sell & Repay”, todas las demás funciones de la plataforma ya han sido restauradas.

Análisis del mecanismo de la vulnerabilidad: fallo clave en la lógica del contrato Sell & Repay

“Sell & Repay” es una de las funciones principales del protocolo de préstamos NFT Gondi, que permite a los prestatarios vender en una sola transacción NFT que han sido depositados como garantía y pagar automáticamente el préstamo. La última versión del contrato, desplegada el 20 de febrero, introdujo un error lógico en la función “Purchase Bundler”, que no verificó correctamente si el llamador del contrato era el propietario legítimo del NFT o un prestatario autorizado, permitiendo a los atacantes saltarse la verificación de propiedad y activar transferencias sin poseer el NFT.

El coleccionista de NFT tinoch estima que una víctima potencial perdió unos 55 ETH, valorados en aproximadamente 108,000 dólares en el mercado en ese momento. Gondi enfatizó que el alcance de la vulnerabilidad fue limitado y que los NFT en préstamo activo “no fueron afectados en ningún momento”.

Lista de NFT robados: series conocidas afectadas

Según datos de Etherscan, los 78 NFT transferidos abarcan varias series famosas:

• Tokens Art Blocks: 44, la mayor proporción de los NFT robados
• Doodles: 10
• Beeple “Spring Collection”: 2
• Otros: varias marcas valiosas de NFT y obras de arte únicas 1/1 irremplazables

Tras el incidente, Gondi suspendió rápidamente la función “Sell & Repay” y solicitó a Blockaid y a auditores independientes realizar una revisión completa de seguridad del protocolo. Gondi afirmó que todas las demás actividades en la plataforma —incluyendo pagos de préstamos, renegociaciones, refinanciamiento, emisión de nuevos préstamos, listado y comercio de NFT— pueden reanudarse de forma segura.

Acciones de compensación de Gondi: estrategia de reparación en tres frentes

La compensación se está llevando a cabo en tres niveles simultáneamente:

• Contactar a los usuarios afectados: Gondi ha contactado proactivamente a todos los usuarios que interactuaron con el contrato vulnerable, confirmando el alcance de las pérdidas y abriendo canales de comunicación directa.
• Recuperar y devolver los NFT robados: Gondi rastreó que algunos NFT robados fueron transferidos a compradores sin conocimiento y logró convencer a estos para devolver los NFT a sus propietarios originales.
• Recompra de artículos similares con fondos del protocolo: Para los NFT robados que no se pueden recuperar directamente, Gondi comenzó a usar fondos del protocolo para comprar “artículos similares” de series 1/1 para compensar a los afectados. Gondi afirmó: “Aunque no son exactamente iguales, creemos que esta es una solución justa y significativa, y estamos coordinando directamente con cada propietario.” Para las víctimas que perdieron NFT únicos 1/1, Gondi dijo que está en “negociaciones activas” para buscar soluciones de compensación personalizadas.

Preguntas frecuentes

¿Qué es Gondi y cómo ocurrió esta vulnerabilidad?

Gondi es un mercado descentralizado y no custodial de liquidez y préstamos NFT, que permite a los usuarios usar NFT como garantía, prestar activos para ganar intereses o refinanciar. La vulnerabilidad provino de un error lógico en la nueva versión del contrato “Sell & Repay” desplegado el 20 de febrero, en la función de compra en paquete, que no verificó correctamente la identidad del llamador, permitiendo a los atacantes activar transferencias sin poseer el NFT.

¿Qué NFT fueron robados en esta vulnerabilidad de Gondi?

Un total de 78 NFT fueron transferidos a la dirección del atacante en aproximadamente 40 transacciones, incluyendo 44 tokens Art Blocks, 10 Doodles, 2 de la colección “Spring” de Beeple y varias otras marcas reconocidas, algunas de ellas obras de arte únicas 1/1 irremplazables, con una pérdida total estimada de unos 230,000 dólares.

¿Es seguro volver a usar la plataforma Gondi ahora?

Gondi afirmó que, tras la revisión completa por parte de Blockaid y auditores independientes, todas las actividades en la plataforma, excepto la función “Sell & Repay” que sigue desactivada, son seguras para reanudarse, incluyendo pagos de préstamos, renegociaciones, refinanciamiento, emisión de nuevos préstamos y compra-venta de NFT.