Gondi après la faille de 230 000 dollars, lancement de l'indemnisation, récupération des NFT volés et restitution au propriétaire original

Le protocole de prêt NFT Gondi a annoncé le 9 mars qu’il prenait activement des mesures pour indemniser les utilisateurs ayant subi des pertes en raison d’une faille dans le contrat intelligent. Selon l’estimation de la société de sécurité Blockaid, les attaquants ont exploité cette vulnérabilité pour dérober environ 78 NFT auprès de plusieurs victimes, pour une perte estimée à environ 230 000 dollars. Gondi indique qu’à l’exception du nouveau contrat « Sell & Repay » présentant une faille logique, toutes les autres fonctionnalités de la plateforme ont été restaurées.

Analyse du mécanisme de la faille : la faille clé dans la logique du contrat Sell & Repay

« Sell & Repay » est l’une des fonctions centrales du protocole de prêt NFT Gondi, permettant à un emprunteur de vendre dans une seule transaction groupée un NFT mis en garantie, tout en remboursant automatiquement le prêt. La dernière version du contrat déployée le 20 février a introduit une erreur logique dans la fonction « Purchase Bundler », qui n’a pas correctement vérifié si l’appelant du contrat était le propriétaire légitime du NFT ou un prêteur autorisé, permettant ainsi aux attaquants de contourner la vérification de propriété et de déclencher une opération de transfert sans détenir le NFT.

Le collectionneur de NFT tinoch estime qu’un potentiel victime aurait subi une perte d’environ 55 ETH, soit environ 108 000 dollars au prix du marché au moment de l’observation. Gondi souligne que l’impact de cette faille est limité, et que les NFT en prêt actif n’ont jamais été affectés à aucun moment.

Liste des NFT volés : des séries renommées touchées

Selon les données d’Etherscan, les 78 NFT transférés comprennent plusieurs séries célèbres :

• Tokens Art Blocks : 44, représentant la majorité des NFT volés
• Doodles : 10
• Beeple « Spring Collection » : 2
• Autres : plusieurs marques de NFT de valeur et des œuvres d’art uniques 1/1 irremplaçables

Après l’incident, Gondi a rapidement suspendu la fonction « Sell & Repay » et a invité Blockaid ainsi qu’une organisation d’audit indépendante à effectuer une revue complète de la sécurité du protocole. Gondi déclare que toutes les autres activités de la plateforme — y compris le remboursement de prêts, la renégociation, le refinancement, l’émission de nouveaux prêts, la mise en vente et la transaction de NFT — peuvent être restaurées en toute sécurité.

Actions de compensation de Gondi : une stratégie de réparation en trois volets

Les efforts de compensation avancent simultanément sur trois niveaux :

• Contacter les utilisateurs affectés : Gondi a pris l’initiative de contacter tous les utilisateurs ayant interagi avec le contrat vulnérable, pour confirmer l’étendue des pertes et ouvrir un canal de communication direct.

• Récupérer et restituer les NFT volés : Gondi a identifié que certains NFT dérobés ont été transférés à des acheteurs inconscients, et a réussi à convaincre ces acheteurs de restituer les NFT à leurs propriétaires originaux.

• Racheter des objets similaires avec les frais du protocole : pour les NFT volés qui ne peuvent pas être récupérés directement, Gondi utilise une partie des frais du protocole pour acheter des « objets similaires » issus de séries 1/1 ou X/1 afin de compenser les utilisateurs affectés. Gondi déclare : « Bien que ce ne soient pas exactement les mêmes objets, nous pensons que c’est une solution équitable et significative, et nous coordonnons directement avec chaque propriétaire. » Pour les victimes ayant perdu un NFT unique 1/1, Gondi indique qu’elle mène des « négociations actives » avec les parties concernées pour élaborer une solution de compensation personnalisée.

FAQ

Q : Qu’est-ce que Gondi et comment cette faille s’est-elle produite ?
Gondi est un marché décentralisé de liquidité NFT et un protocole de prêt non custodial, permettant aux utilisateurs de mettre en garantie leurs NFT pour emprunter, gagner des intérêts ou refinancer. La faille provient de la nouvelle version du contrat « Sell & Repay » déployée le 20 février, dont la logique comportait une erreur. La fonction « Purchase Bundler » ne vérifiait pas correctement l’identité de l’appelant, permettant à un attaquant de déclencher un transfert sans détenir le NFT.

Q : Quels NFT ont été volés lors de cette faille sur Gondi ?
Au total, 78 NFT ont été transférés vers l’adresse de l’attaquant via environ 40 transactions, comprenant 44 tokens Art Blocks, 10 Doodles, 2 Beeple « Spring Collection » et plusieurs autres marques renommées. Certains sont des œuvres d’art uniques 1/1 irremplaçables. La perte totale est estimée à environ 230 000 dollars.

Q : La plateforme Gondi est-elle actuellement sécurisée et opérationnelle ?
Gondi indique qu’après l’audit complet par Blockaid et une organisation indépendante, toutes les activités autres que la fonction « Sell & Repay » — qui reste désactivée — peuvent reprendre en toute sécurité, y compris le remboursement de prêts, la renégociation, le refinancement, l’émission de nouveaux prêts, ainsi que l’achat, la vente et l’échange de NFT.