بروتوكول إقراض NFT Gondi احتوى على استغلال أدى إلى سرقة حوالي 78 NFT بقيمة تقريبية تبلغ 230,000 دولار من عدة مستخدمين، وذلك نتيجة لترقية فاشلة للعقد الذكي تم نشرها في 20 فبراير 2026.
فريق العمل قام بتعطيل ميزة البيع والسداد الضعيفة مع التأكد من أن جميع وظائف المنصة الأخرى لا تزال آمنة، ويعمل بنشاط على تعويض المستخدمين المتضررين من خلال استرداد مباشر، واستعادة الأصول، وتعويض باستخدام رسوم البروتوكول.
تفاصيل الاستغلال والسبب الفني
ترقية العقد الضعيف
كان الاستغلال مرتبطًا بنسخة جديدة من عقد البيع والسداد الخاص بـ Gondi، وهو مكون من مكونات بروتوكول إقراض NFT الذي يسمح للمقترضين ببيع NFTs المودعة وسداد القروض تلقائيًا في معاملة موحدة. تم نشر العقد المحدث في 20 فبراير 2026.
حدد شركة الأمان Blockaid أن منطقًا خاطئًا تم إدخاله في وظيفة “مجمّع الشراء” في العقد، والتي فشلت في التحقق بشكل صحيح مما إذا كان من ينفذ العقد هو المالك الشرعي أو المقترض لـ NFT المعني في المعاملة. سمح هذا الإغفال للمهاجم بتنفيذ عمليات نقل غير مصرح بها واستخراج الأصول من عدة مستخدمين.
نطاق الهجوم
وفقًا لبيانات Etherscan، تم سرقة حوالي 78 NFT عبر حوالي 40 معاملة وتم توجيهها إلى محفظة الآن تُعرف باسم “GONDI Exploiter”. شملت الأصول المسروقة 44 رمز Art Blocks، و10 Doodles، وNFTين من مجموعة “Spring Collection” لبِيبِل، وقطع ثمينة أخرى من مجموعات بارزة.
قدر جامع NFT tinoch أن مستخدمًا واحدًا فقط خسر حوالي 55 ETH، بقيمة حوالي 108,000 دولار في وقت الملاحظة. لم يتم الكشف عن إجمالي عدد الضحايا علنًا، على الرغم من أن عدة محافظ تأثرت.
استجابة المنصة والمعالجة
الإجراءات الفورية
تحركت Gondi بسرعة لتعطيل ميزة البيع والسداد المتأثرة بعد تحديد المشكلة. وذكر الفريق أن الميزة لا تزال غير متاحة أثناء نشر وتصحيح الإصلاح. وتم التأكد من أن جميع وظائف المنصة الأخرى، بما في ذلك الشراء، والبيع، والإدراج، والمزايدة، والتداول، وإعادة التمويل، وبدء قروض جديدة، تعمل بشكل كامل وآمن لاستئناف العمل.
أكد البروتوكول أن NFTs المرتبطة بالقروض النشطة لم تكن في خطر خلال الحادث. كان الاستغلال محدودًا للوظيفة المحددة للعقد المسؤولة عن المبيعات المجمعة والسداد، مما ترك أجزاء أخرى من السوق غير متأثرة.
مراجعة الأمان
منذ الهجوم، قامت شركة الأمان Blockaid ومراجع مستقل بمراجعة البروتوكول. عكست Gondi تحذيرًا سابقًا حذر المستخدمين من التفاعل مع المنصة، وأكدت أن البروتوكول الأوسع لم يتأثر وأن جميع الأنشطة آمنة للاستئناف.
جهود تعويض المستخدمين
التعويض المباشر
بدأت Gondi العمل مباشرة مع المستخدمين المتضررين لاستعادة الأصول المفقودة أو تقديم تعويض حيث لا يمكن الاسترداد. تواصل الفريق مع المحافظ التي تفاعلت مع العقد الضعيف لبدء عمليات الاسترداد.
في عدة حالات، تتبعت المشروع NFTs التي اشترىها مشتريون غير مدركين أن الرموز جاءت من الاستغلال. يتم إرجاع تلك العناصر إلى مالكيها الأصليين حيثما أمكن.
آليات التعويض
بدأ البروتوكول باستخدام رسوم المنصة المجمعة لشراء “عناصر مماثلة” من مجموعات مشابهة لتعويض الخسائر للمستخدمين المتضررين عندما لا يمكن استرداد NFTs المطابقة. وذكر الفريق: “على الرغم من أنها ليست القطعة نفسها تمامًا، نعتقد أن هذا حل عادل وذو معنى ونحن ننسق مباشرة مع كل مالك.”
بالنسبة للحالات التي تتعلق بـ NFTs فريدة من نوعها ولا يمكن استبدالها بسهولة، أشارت Gondi إلى أنها في مناقشات نشطة مع المجموعات المتضررة لتحديد حلول بديلة.
سياق المنصة وملف المخاطر
نموذج إقراض Gondi
تعمل Gondi كسوق لسيولة NFT لامركزية وغير حاضنة، تتيح للمستخدمين وضع NFTs كضمان للقروض، وإقراض الأصول لكسب الفائدة، وإعادة تمويل مراكز NFT الخاصة بهم. تتيح المنصة للمقترضين الوصول إلى السيولة دون بيع أصولهم الرقمية بشكل كامل.
ميزة البيع والسداد على وجه الخصوص تقدم تعقيدًا إضافيًا لأنها تجمع بين عدة إجراءات في معاملة واحدة — بيع الضمان وسداد القرض في وقت واحد. عندما فشل خطوة التحقق من الملكية، تمكن المهاجمون من استغلال ذلك الأتمتة.
مخاطر العقود الذكية
تتطلب أنظمة مثل Gondi عقودًا ذكية معقدة تنسق إدارة الضمان، وإصدار القروض، والسداد، ونقل الأصول. حتى أخطاء المنطق الصغيرة في هذه العقود يمكن أن تخلق ثغرات للمهاجمين، مما يبرز ارتفاع مستوى مخاطر منصات إقراض NFT حيث تعديلات الترقية على العقود تغير من عمليات التحقق من ملكية الأصول أو منطق تفويض المعاملات.
الأسئلة الشائعة: استغلال Gondi
س: ما سبب استغلال Gondi؟
ج: نجم الاستغلال عن منطق خاطئ تم إدخاله في ترقية 20 فبراير لعقد البيع والسداد. فشلت وظيفة “مجمّع الشراء” في التحقق بشكل صحيح مما إذا كان من ينفذ العقد هو المالك الشرعي أو المقترض لـ NFT، مما سمح للمهاجم بتنفيذ عمليات نقل غير مصرح بها لحوالي 78 NFT بقيمة 230,000 دولار.
س: كم تم خسارته ومن تأثر؟
ج: تم سرقة حوالي 78 NFT عبر 40 معاملة، بما في ذلك أصول من مجموعات Art Blocks، وDoodles، وBeeple. خسر مستخدم واحد حوالي 55 ETH بقيمة 108,000 دولار. لم يُكشف عن إجمالي عدد الضحايا، لكن عدة محافظ تأثرت.
س: ماذا تفعل Gondi لتعويض الضحايا؟
ج: تقوم Gondi بالتعويض المباشر للمستخدمين المتضررين، وإرجاع NFTs المسروقة التي تم تتبعها من مشترين غير مدركين، وتستخدم رسوم البروتوكول لشراء عناصر مماثلة من مجموعات مشابهة عندما لا يمكن استرداد NFTs المطابقة. هناك مناقشات جارية بشأن القطع الفريدة من نوعها.
س: هل منصة Gondi آمنة الآن للاستخدام؟
ج: ميزة البيع والسداد الضعيفة لا تزال معطلة في انتظار إصلاح، لكن جميع وظائف المنصة الأخرى بما في ذلك الشراء، والبيع، والإدراج، والمزايدة، والتداول، وأنشطة القروض، مؤكدة أنها آمنة للاستئناف. قامت شركات الأمان Blockaid ومراجع مستقل بمراجعة البروتوكول منذ الهجوم.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
