El protocolo de préstamos de NFT Gondi ha contenido una explotación que drenó aproximadamente 78 NFTs valorados en unos 230.000 dólares de múltiples usuarios, originada por una actualización defectuosa del contrato inteligente desplegada el 20 de febrero de 2026.
El equipo ha desactivado la función vulnerable de Vender y Reembolsar mientras confirma que todas las demás funciones de la plataforma permanecen seguras, y está trabajando activamente para reembolsar a los usuarios afectados mediante restitución directa, recuperación de activos y compensación usando las tarifas del protocolo.
Detalles de la explotación y causa técnica
Actualización del contrato vulnerable
La explotación estuvo relacionada con una versión recién desplegada del contrato de Vender y Reembolsar de Gondi, un componente del protocolo de préstamos de NFT que permite a los prestatarios vender NFTs en custodia y reembolsar préstamos automáticamente en una transacción agrupada. El contrato actualizado fue desplegado el 20 de febrero de 2026.
La firma de seguridad Blockaid identificó que se introdujo lógica defectuosa en la función “Purchase Bundler” del contrato, la cual no verificaba correctamente si el llamante del contrato era el propietario legítimo o prestatario de un NFT involucrado en la transacción. Esta omisión permitió a un atacante activar transferencias no autorizadas y extraer activos de múltiples usuarios.
Alcance del ataque
Según datos de Etherscan, aproximadamente 78 NFTs fueron drenados en unas 40 transacciones y redirigidos a una cartera ahora etiquetada como “GONDI Exploiter”. Los activos robados incluían 44 tokens de Art Blocks, 10 Doodles, dos NFTs de la “Spring Collection” de Beeple y otras piezas valiosas de colecciones prominentes.
El coleccionista de NFTs tinoch estimó que un solo usuario afectado perdió aproximadamente 55 ETH, valorados en unos 108.000 dólares en el momento de la observación. El número total de víctimas no ha sido divulgado públicamente, aunque varias carteras fueron impactadas.
Respuesta y remediación de la plataforma
Acciones inmediatas
Gondi actuó rápidamente para desactivar la función afectada de Vender y Reembolsar tras identificar el problema. El equipo afirmó que la función permanece desconectada mientras se despliega y verifica una solución. Se confirmó que toda la funcionalidad restante de la plataforma, incluyendo compra, venta, listado, pujas, comercio, refinanciamiento de préstamos y apertura de nuevos préstamos, está completamente operativa y segura para reanudar.
El protocolo enfatizó que los NFTs vinculados a préstamos activos nunca estuvieron en riesgo durante el incidente. La explotación se limitó a la función específica del contrato responsable de ventas agrupadas y reembolsos, dejando intactas otras partes del mercado.
Revisión de seguridad
Desde el ataque, la firma de seguridad Blockaid y un auditor independiente han revisado el protocolo. Gondi revocó una advertencia anterior que alertaba a los usuarios de interactuar con la plataforma, confirmando que el protocolo en general no fue afectado y que toda actividad es segura para reanudar.
Esfuerzos de restitución a los usuarios
Reembolso directo
Gondi ha comenzado a trabajar directamente con los usuarios afectados para restaurar los activos perdidos o proporcionar compensación cuando la recuperación no sea posible. El equipo se ha puesto en contacto con las carteras que interactuaron con el contrato vulnerable para iniciar procesos de restitución.
En varios casos, el proyecto ha rastreado NFTs comprados por compradores que aparentemente desconocían que los tokens provenían de la explotación. Esos artículos están siendo devueltos a sus propietarios originales cuando es posible.
Mecanismos de compensación
El protocolo ha comenzado a usar las tarifas del plataforma recaudadas para comprar “artículos comparables” de colecciones similares y así compensar las pérdidas de los usuarios afectados cuando no se puedan recuperar NFTs idénticos. El equipo afirmó: “Aunque no es la misma pieza exacta, creemos que esta es una resolución justa y significativa y estamos coordinando directamente con cada propietario.”
Para casos que involucran NFTs únicos, de uno en su especie, que no pueden ser fácilmente reemplazados, Gondi indicó que está en conversaciones activas con los coleccionistas afectados para determinar soluciones alternativas.
Contexto de la plataforma y perfil de riesgo
Modelo de préstamo de Gondi
Gondi funciona como un mercado descentralizado y no custodial de liquidez de NFTs y protocolo de préstamos. Los usuarios pueden poner NFTs como garantía para préstamos, prestar activos para ganar intereses y refinanciar sus posiciones en NFTs. La plataforma permite a los prestatarios acceder a liquidez sin vender sus activos digitales directamente.
La función de Vender y Reembolsar en particular introduce complejidad adicional porque agrupa múltiples acciones en una sola transacción—vender la garantía y reembolsar el préstamo simultáneamente. Cuando la verificación de propiedad falló, los atacantes pudieron explotar esa automatización.
Riesgos de contratos inteligentes
Sistemas como Gondi requieren contratos inteligentes complejos que coordinan la gestión de garantías, emisión de préstamos, reembolsos y transferencias de activos. Incluso pequeños errores lógicos en estos contratos pueden crear vulnerabilidades para los atacantes, resaltando el perfil de riesgo elevado de los plataformas de préstamos de NFTs donde las actualizaciones de contratos modifican verificaciones de propiedad o lógica de autorización de transacciones.
Preguntas frecuentes: Exploit de Gondi
Q: ¿Qué causó la explotación de Gondi?
A: La explotación se originó por una lógica defectuosa introducida en una actualización del 20 de febrero en el contrato de Vender y Reembolsar. La función “Purchase Bundler” no verificaba correctamente si el llamante era el propietario legítimo o prestatario de un NFT, permitiendo a un atacante activar transferencias no autorizadas de aproximadamente 78 NFTs valorados en 230.000 dólares.
Q: ¿Cuánto se perdió y quiénes fueron afectados?
A: Aproximadamente 78 NFTs fueron drenados en 40 transacciones, incluyendo activos de Art Blocks, Doodles y colecciones de Beeple. Un usuario afectado perdió aproximadamente 55 ETH, valorados en 108.000 dólares. El número total de víctimas no ha sido divulgado, pero varias carteras fueron impactadas.
Q: ¿Qué está haciendo Gondi para compensar a las víctimas?
A: Gondi está reembolsando directamente a los usuarios afectados, devolviendo NFTs robados rastreados a compradores que no sabían que provenían de la explotación, y usando las tarifas del protocolo para comprar artículos comparables de colecciones similares cuando no se puedan recuperar NFTs idénticos. Se están discutiendo soluciones para piezas únicas de una sola unidad.
Q: ¿Es segura ahora la plataforma Gondi?
A: La función vulnerable de Vender y Reembolsar sigue desactivada hasta que se implemente una solución, pero todas las demás funciones de la plataforma, incluyendo compra, venta, listado, pujas y actividades de préstamo, están confirmadas como seguras para reanudar. Las firmas de seguridad Blockaid y un auditor independiente han revisado el protocolo desde el ataque.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
