NFT-Leihprotokoll Gondi hat eine Sicherheitslücke enthalten, die etwa 78 NFTs im Wert von rund 230.000 US-Dollar von mehreren Nutzern abgezogen hat. Die Schwachstelle entstand durch ein fehlerhaftes Smart-Contract-Upgrade, das am 20. Februar 2026 implementiert wurde.
Das Team hat die anfällige Sell & Repay-Funktion deaktiviert, während bestätigt wurde, dass alle anderen Plattformfunktionen weiterhin sicher sind. Es arbeitet aktiv daran, betroffene Nutzer durch direkte Rückerstattungen, Asset-Wiederherstellung und Entschädigungen aus Protokollgebühren zu entschädigen.
Details zum Exploit und technische Ursachen
Anfälliges Contract-Upgrade
Der Angriff war mit einer neu deployten Version des Gondi-Sell & Repay-Vertrags verbunden, einem Bestandteil des NFT-Leihprotokolls, das es Kreditnehmern ermöglicht, escrowed NFTs zu verkaufen und Kredite automatisch in einer Transaktion zurückzuzahlen. Das aktualisierte Contract wurde am 20. Februar 2026 bereitgestellt.
Die Sicherheitsfirma Blockaid stellte fest, dass fehlerhafte Logik in der Funktion „Purchase Bundler“ eingeführt wurde, die es versäumte, ordnungsgemäß zu prüfen, ob der Contract-Aufrufer der legitime Eigentümer oder Kreditnehmer eines NFTs war. Diese Nachlässigkeit ermöglichte es einem Angreifer, unbefugte Transfers auszulösen und Assets von mehreren Nutzern zu stehlen.
Umfang des Angriffs
Laut Etherscan-Daten wurden etwa 78 NFTs in rund 40 Transaktionen abgezogen und an eine Wallet mit der Bezeichnung „GONDI Exploiter“ umgeleitet. Die gestohlenen Assets umfassten 44 Art Blocks Tokens, 10 Doodles, zwei NFTs aus BEEPLEs „Spring Collection“ und andere wertvolle Stücke aus bekannten Sammlungen.
NFT-Sammler tinoch schätzte, dass ein einzelner betroffener Nutzer etwa 55 ETH verloren hat, was zum Zeitpunkt der Beobachtung etwa 108.000 US-Dollar entspricht. Die genaue Zahl der Opfer wurde öffentlich nicht bekanntgegeben, es sind jedoch mehrere Wallets betroffen.
Reaktion und Maßnahmen des Plattformbetreibers
Sofortmaßnahmen
Gondi hat nach der Entdeckung des Problems die betroffene Sell & Repay-Funktion schnell deaktiviert. Das Team erklärte, dass diese Funktion vorübergehend offline bleibt, während eine Lösung entwickelt und geprüft wird. Alle anderen Funktionen der Plattform, einschließlich Kaufen, Verkaufen, Listen, Bieten, Handeln, Refinanzierung und Starten neuer Kredite, seien voll funktionsfähig und sicher, um den Betrieb wieder aufzunehmen.
Das Protokoll betonte, dass NFTs, die mit aktiven Krediten verbunden sind, während des Vorfalls niemals gefährdet waren. Der Angriff beschränkte sich auf die spezifische Funktion für gebündelte Verkäufe und Rückzahlungen, wodurch andere Bereiche des Marktplatzes unberührt blieben.
Sicherheitsüberprüfung
Seit dem Angriff haben die Sicherheitsfirma Blockaid und ein unabhängiger Prüfer das Protokoll überprüft. Gondi widerrief eine frühere Warnung, die Nutzer vor der Interaktion mit der Plattform gewarnt hatte, und bestätigte, dass das breitere Protokoll nicht betroffen sei und alle Aktivitäten sicher wieder aufgenommen werden können.
Bemühungen um Rückerstattung an Nutzer
Direkte Rückzahlungen
Gondi arbeitet direkt mit den betroffenen Nutzern zusammen, um verlorene Assets wiederherzustellen oder Entschädigungen zu leisten, falls eine Wiederherstellung nicht möglich ist. Das Team hat Wallets kontaktiert, die mit dem anfälligen Contract interagiert haben, um Rückerstattungsprozesse einzuleiten.
In mehreren Fällen konnte das Projekt NFTs aufspüren, die von Käufern erworben wurden, die offenbar nicht wussten, dass die Tokens aus dem Exploit stammen. Diese Gegenstände werden, wo möglich, an ihre ursprünglichen Eigentümer zurückgegeben.
Entschädigungsmechanismen
Das Protokoll hat begonnen, die gesammelten Plattformgebühren zu nutzen, um „vergleichbare Gegenstände“ aus ähnlichen Sammlungen zu kaufen, um Verluste für betroffene Nutzer auszugleichen, wenn identische NFTs nicht wiederhergestellt werden können. Das Team erklärte: „Auch wenn es nicht dasselbe Stück ist, halten wir dies für eine faire und sinnvolle Lösung und koordinieren direkt mit jedem Eigentümer.“
Für Fälle mit einzigartigen, einmaligen NFTs, die nicht leicht ersetzt werden können, befindet sich Gondi in aktiven Gesprächen mit den betroffenen Sammlern, um alternative Lösungen zu finden.
Plattform-Kontext und Risikoprofil
Gondi’s Leihmodell
Gondi ist ein dezentraler, nicht verwahrender NFT-Liquiditätsmarktplatz und Leihprotokoll. Nutzer können NFTs als Sicherheit für Kredite hinterlegen, Assets verleihen, um Zinsen zu verdienen, und ihre NFT-Positionen refinanzieren. Die Plattform ermöglicht es Kreditnehmern, Liquidität zu erhalten, ohne ihre digitalen Assets vollständig verkaufen zu müssen.
Die Sell & Repay-Funktion fügt zusätzliche Komplexität hinzu, da sie mehrere Aktionen in einer einzigen Transaktion bündelt – Verkauf der Sicherheit und Rückzahlung des Kredits gleichzeitig. Wenn die Eigentumsüberprüfung fehlschlägt, konnten Angreifer diese Automatisierung ausnutzen.
Risiken bei Smart Contracts
Systeme wie Gondi erfordern komplexe Smart Contracts, die die Verwaltung von Sicherheiten, Kreditvergabe, Rückzahlungen und Asset-Transfers koordinieren. Selbst kleine Logikfehler in diesen Verträgen können Angriffsflächen bieten, was das erhöhte Risiko von NFT-Leihplattformen unterstreicht, bei denen Contract-Updates Eigentumsüberprüfungen oder Transaktionsautorisierungslogik verändern.
FAQ: Gondi Exploit
Q: Was hat den Gondi-Exploit verursacht?
A: Der Exploit resultierte aus fehlerhafter Logik, die bei einem Upgrade des Sell & Repay-Vertrags am 20. Februar eingeführt wurde. Die Funktion „Purchase Bundler“ versäumte es, ordnungsgemäß zu prüfen, ob der Aufrufer der legitime Eigentümer oder Kreditnehmer eines NFTs war, was einem Angreifer erlaubte, unbefugte Transfers von etwa 78 NFTs im Wert von 230.000 US-Dollar auszulösen.
Q: Wie viel wurde gestohlen und wer ist betroffen?
A: Etwa 78 NFTs wurden in 40 Transaktionen abgezogen, darunter Assets aus Art Blocks, Doodles und BEEPLE-Sammlungen. Ein betroffener Nutzer verlor etwa 55 ETH, was zum Zeitpunkt etwa 108.000 US-Dollar entspricht. Die Gesamtzahl der Opfer wurde nicht öffentlich bekanntgegeben, aber mehrere Wallets sind betroffen.
Q: Was unternimmt Gondi, um die Opfer zu entschädigen?
A: Gondi erstattet direkt betroffene Nutzer, kehrt gestohlene NFTs zurück, die von ahnungslosen Käufern erworben wurden, und nutzt Protokollgebühren, um vergleichbare Gegenstände aus ähnlichen Sammlungen zu kaufen, wenn identische NFTs nicht wiederhergestellt werden können. Für einzigartige, einmalige Stücke laufen noch Gespräche.
Q: Ist die Gondi-Plattform jetzt sicher zu nutzen?
A: Die anfällige Sell & Repay-Funktion ist weiterhin deaktiviert, bis eine Lösung implementiert ist. Alle anderen Funktionen wie Kaufen, Verkaufen, Listen, Bieten, Handeln und Kreditaktivitäten sind jedoch bestätigt sicher und können wieder genutzt werden. Sicherheitsfirmen wie Blockaid und ein unabhängiger Prüfer haben das Protokoll seit dem Angriff überprüft.
