Gondi 230.000 USD Sicherheitslücke aktiviert Entschädigung, gestohlene NFTs zurückholen und an den Eigentümer zurückgeben

NFT Verleihprotokoll Gondi kündigte am 9. März an, aktiv Maßnahmen zur Entschädigung der Nutzer zu ergreifen, die durch eine Schwachstelle im Smart Contract Verluste erlitten haben. Laut Sicherheitsfirma Blockaid wurden durch die Schwachstelle etwa 78 NFTs von mehreren Opfern gestohlen, mit einem geschätzten Verlust von rund 230.000 US-Dollar. Gondi erklärte, dass alle Funktionen der Plattform außer der neuen Version des „Sell & Repay“-Vertrags wiederhergestellt wurden.

Analyse der Schwachstellen: Das Kernproblem im Sell & Repay-Vertrag

„Sell & Repay“ ist eine der Kernfunktionen des Gondi NFT Verleihprotokolls, die es Kreditnehmern ermöglicht, in einer einzigen Transaktion NFTs, die als Sicherheit hinterlegt sind, zu verkaufen und den Kredit automatisch zurückzuzahlen. Die neueste Version des Vertrags, die am 20. Februar bereitgestellt wurde, enthält eine fehlerhafte Logik im „Purchase Bundler“-Feature, das es nicht korrekt prüft, ob der Anrufer des Vertrags der rechtmäßige Eigentümer oder autorisierte Kreditnehmer des NFTs ist. Dadurch konnten Angreifer die Eigentumsprüfung umgehen und Transaktionen auslösen, ohne die NFTs zu besitzen.

NFT-Sammler tinoch schätzt, dass ein potenzielles Opfer Verluste von etwa 55 ETH erlitten hat, was bei den damaligen Marktpreisen ungefähr 108.000 US-Dollar entspricht. Gondi betonte, dass die Auswirkungen der Schwachstelle begrenzt seien und NFTs, die sich in aktiven Verleihprozessen befinden, zu keinem Zeitpunkt betroffen waren.

Liste der gestohlenen NFTs: Betroffene bekannte Serien

Laut Etherscan wurden insgesamt 78 NFTs auf mehrere bekannte Serien übertragen:

• Art Blocks Tokens: 44, größter Anteil der gestohlenen NFTs
• Doodles: 10
• Beeple „Spring Collection“: 2
• Weitere: Mehrere wertvolle NFT-Marken und einzigartige 1/1 Kunstwerke

Nach dem Vorfall hat Gondi die „Sell & Repay“-Funktion sofort deaktiviert und unabhängige Sicherheitsprüfer sowie Blockaid zur umfassenden Überprüfung des gesamten Protokolls eingeladen. Gondi erklärte, dass alle anderen Plattformaktivitäten – einschließlich Rückzahlungen, Neuverhandlungen, Refinanzierungen, Vergabe neuer Kredite sowie NFT-Verkäufe und -Handel – sicher wieder aufgenommen werden können.

Gondis Entschädigungsmaßnahmen: Ein dreistufiger Ansatz

Die Entschädigung erfolgt in drei parallelen Maßnahmen:

• Kontaktaufnahme mit den betroffenen Nutzern: Gondi hat alle Nutzer, die mit dem Schwachstellenvertrag interagiert haben, aktiv kontaktiert, um den Umfang der Verluste zu klären und direkte Kommunikationswege zu eröffnen.
• Wiederbeschaffung und Rückgabe der gestohlenen NFTs: Gondi hat einige gestohlene NFTs verfolgt, die uninformiert von Käufern weiterverkauft wurden, und konnte diese Käufer erfolgreich überzeugen, die NFTs an die ursprünglichen Eigentümer zurückzugeben.
• Rückkauf ähnlicher Gegenstände durch das Protokoll: Für NFTs, die nicht direkt zurückgeholt werden können, nutzt Gondi Protokollgebühren, um „ähnliche Objekte“ aus 1/1-Serien zu kaufen und die betroffenen Nutzer zu entschädigen. Gondi erklärte: „Obwohl es sich nicht um exakt gleiche Gegenstände handelt, glauben wir, dass dies eine faire und sinnvolle Lösung ist, und wir koordinieren direkt mit jedem Eigentümer.“ Für Opfer, die ein einzigartiges 1/1 NFT verloren haben, führt Gondi aktive Verhandlungen, um individuelle Entschädigungslösungen zu finden.

Häufig gestellte Fragen

Was ist Gondi und wie kam es zu dieser Schwachstelle?

Gondi ist ein dezentraler, nicht verwahrter NFT-Liquiditätsmarkt und Verleihprotokoll, das Nutzern ermöglicht, NFTs als Sicherheiten zu hinterlegen, Assets zu verleihen oder Refinanzierungen durchzuführen. Die Schwachstelle entstand durch einen Fehler im neuen „Sell & Repay“-Vertrag, der am 20. Februar veröffentlicht wurde. Das „Purchase Bundler“-Feature prüfte nicht korrekt, ob der Anrufer legitim war, wodurch Angreifer Transaktionen ohne NFT-Besitz auslösen konnten.

Welche NFTs wurden bei diesem Vorfall gestohlen?

Insgesamt wurden 78 NFTs durch etwa 40 Transaktionen auf die Angreiferadresse übertragen, darunter 44 Art Blocks Tokens, 10 Doodles, 2 Beeple „Spring Collection“-NFTs sowie weitere bekannte Marken. Einige dieser NFTs sind einzigartige 1/1 Kunstwerke. Der geschätzte Gesamtschaden beträgt etwa 230.000 US-Dollar.

Ist die Gondi-Plattform derzeit wieder sicher nutzbar?

Gondi gab bekannt, dass nach Abschluss der Sicherheitsüberprüfungen durch Blockaid und unabhängige Prüfer alle Plattformaktivitäten außer der deaktivierten „Sell & Repay“-Funktion wieder sicher durchgeführt werden können, inklusive Rückzahlungen, Neuverhandlungen, Refinanzierungen, Kreditvergabe sowie NFT-Handel.