NFT กู้ยืมสัญญา Gondi ประกาศเมื่อวันที่ 9 มีนาคมว่ากำลังดำเนินการชดเชยผู้ใช้ที่ได้รับความเสียหายจากช่องโหว่ของสมาร์ทคอนแทรกต์ ตามการประมาณการของบริษัทด้านความปลอดภัย Blockaid ผู้โจมตีใช้ช่องโหว่ในการขโมย NFT จากเหยื่อหลายราย รวมประมาณ 78 ชิ้น มูลค่าความเสียหายประมาณ 230,000 ดอลลาร์สหรัฐ Gondi ระบุว่านอกจากข้อบกพร่องด้านตรรกะในสัญญาเวอร์ชันใหม่ของ “Sell & Repay” แล้ว ฟังก์ชันอื่น ๆ ของแพลตฟอร์มทั้งหมดได้กลับมาใช้งานได้ตามปกติแล้ว
วิเคราะห์กลไกช่องโหว่: ข้อบกพร่องสำคัญในตรรกะของสัญญา Sell & Repay
“Sell & Repay” เป็นหนึ่งในฟังก์ชันหลักของสัญญากู้ยืม NFT ของ Gondi ซึ่งอนุญาตให้ผู้กู้ขาย NFT ที่เป็นหลักประกันในธุรกรรมเดียวกันและชำระคืนเงินกู้โดยอัตโนมัติ เวอร์ชันล่าสุดที่เปิดใช้งานเมื่อวันที่ 20 กุมภาพันธ์ ได้แทรกข้อผิดพลาดด้านตรรกะในฟังก์ชัน “Purchase Bundler” ซึ่งไม่ได้ตรวจสอบความถูกต้องของผู้เรียกใช้งานสัญญาว่าเป็นเจ้าของ NFT ที่ถูกต้องตามกฎหมายหรือได้รับอนุญาต ทำให้ผู้โจมตีสามารถข้ามการตรวจสอบความเป็นเจ้าของและดำเนินการโอน NFT โดยไม่ถือครอง NFT นั้น
นักสะสม NFT tinoch คาดว่าความเสียหายของเหยื่อรายหนึ่งอาจสูงถึงประมาณ 55 ETH ซึ่งในขณะนั้นมีมูลค่าประมาณ 108,000 ดอลลาร์สหรัฐ Gondi เน้นย้ำว่าผลกระทบของช่องโหว่นี้มีขอบเขตจำกัด NFT ที่อยู่ในสถานะกู้ยืมที่ใช้งานอยู่ “ไม่ได้รับผลกระทบในช่วงใดช่วงหนึ่ง”
รายชื่อ NFT ที่ถูกโจรกรรม: ซีรีส์ชื่อดังได้รับผลกระทบ
ข้อมูลจาก Etherscan ระบุว่า NFT จำนวน 78 ชิ้นที่ถูกโอนย้ายไปยังที่อยู่ของผู้โจมตี ครอบคลุมซีรีส์ชื่อดังหลายรายการ:
- โทเคน Art Blocks: 44 ชิ้น ซึ่งเป็นสัดส่วนสูงสุดของ NFT ที่ถูกโจรกรรมในครั้งนี้
- Doodles: 10 ชิ้น
- Beeple “Spring Collection”: 2 ชิ้น
- อื่น ๆ: รวมถึงแบรนด์ NFT ที่มีมูลค่าสูงและงานศิลปะ 1/1 ที่เป็นเอกลักษณ์และไม่สามารถทดแทนได้อีกหลายรายการ
หลังเหตุการณ์ Gondi ได้ระงับฟังก์ชัน “Sell & Repay” อย่างรวดเร็ว และเชิญ Blockaid รวมถึงองค์กรตรวจสอบอิสระ เข้าทำการตรวจสอบความปลอดภัยของสัญญาทั้งหมด Gondi ยืนยันว่ากิจกรรมอื่น ๆ ของแพลตฟอร์ม เช่น การชำระคืนเงินกู้ การเจรจาใหม่ การรีไฟแนนซ์ การออกเงินกู้ใหม่ การวางขายและซื้อขาย NFT สามารถดำเนินการได้อย่างปลอดภัยแล้ว
การดำเนินการชดเชยของ Gondi: กลยุทธ์การชดเชยแบบบูรณาการสามด้าน
การชดเชยดำเนินการในสามระดับพร้อมกัน:
- ติดต่อผู้ใช้ที่ได้รับผลกระทบ: Gondi ได้ติดต่อผู้ใช้ทั้งหมดที่เคยมีปฏิสัมพันธ์กับสัญญาช่องโหว่ เพื่อยืนยันขอบเขตความเสียหายและเปิดช่องทางสื่อสารโดยตรง
- ติดตามและคืน NFT ที่ถูกโจรกรรม: Gondi ติดตาม NFT ที่ถูกโจรกรรมบางส่วน ซึ่งถูกซื้อโดยผู้ซื้อที่ไม่รู้เรื่อง และสามารถชักชวนให้ผู้ซื้อเหล่านั้นคืน NFT ให้เจ้าของเดิมได้สำเร็จ
- ซื้อคืนสินค้าคล้ายคลึงด้วยค่าธรรมเนียมของสัญญา: สำหรับ NFT ที่ไม่สามารถติดตามคืนได้ Gondi เริ่มใช้ค่าธรรมเนียมของสัญญาในการซื้อสินค้าคล้ายคลึงจากซีรีส์ 1/1-of-X เพื่อชดเชยผู้ใช้ที่ได้รับผลกระทบ Gondi ระบุว่า “แม้จะไม่ใช่ของที่เหมือนกันเป๊ะ แต่เราเชื่อว่านี่เป็นทางออกที่เป็นธรรมและมีความหมาย และเรากำลังเจรจากับเจ้าของแต่ละรายโดยตรง” สำหรับผู้เสียหายที่สูญเสีย NFT 1/1 ที่เป็นเอกลักษณ์ Gondi ระบุว่ากำลังดำเนินการ “การเจรจาเชิงรุก” เพื่อหาทางเลือกในการชดเชยแบบเฉพาะบุคคล
คำถามที่พบบ่อย
Gondi คือแพลตฟอร์มอะไร และช่องโหว่นี้เกิดขึ้นได้อย่างไร?
Gondi เป็นตลาด NFT แบบกระจายศูนย์และไม่ดูแลเอง ซึ่งอนุญาตให้ผู้ใช้วาง NFT เป็นหลักประกันเงินกู้ ยืมเงินเพื่อรับดอกเบี้ย หรือรีไฟแนนซ์ ช่องโหว่นี้เกิดจากข้อผิดพลาดด้านตรรกะในเวอร์ชันใหม่ของสัญญา “Sell & Repay” ที่เปิดใช้งานเมื่อวันที่ 20 กุมภาพันธ์ ซึ่งฟังก์ชันการซื้อแบบรวมไม่ได้ตรวจสอบความถูกต้องของผู้เรียกใช้งานอย่างถูกต้อง ทำให้ผู้โจมตีสามารถดำเนินการโอน NFT โดยไม่ถือครอง NFT นั้น
NFT ใดบ้างที่ถูกโจรกรรมในช่องโหว่ของ Gondi ครั้งนี้?
มี NFT จำนวน 78 ชิ้นที่ถูกโอนย้ายไปยังที่อยู่ของผู้โจมตีผ่านประมาณ 40 รายการธุรกรรม รวมถึง 44 โทเคน Art Blocks, 10 Doodles, 2 Beeple “Spring Collection” และอีกหลายซีรีส์ชื่อดัง ซึ่งบางรายการเป็นงานศิลปะ 1/1 ที่ไม่สามารถทดแทนได้ มูลค่าความเสียหายรวมประมาณ 230,000 ดอลลาร์สหรัฐ
แพลตฟอร์ม Gondi กลับมาใช้งานได้อย่างปลอดภัยแล้วหรือไม่?
Gondi ระบุว่าหลังจากการตรวจสอบของ Blockaid และองค์กรตรวจสอบอิสระแล้ว ยกเว้นฟังก์ชัน “Sell & Repay” ที่ยังคงปิดใช้งานอยู่ กิจกรรมอื่น ๆ ของแพลตฟอร์ม เช่น การชำระคืนเงินกู้ การเจรจาใหม่ การรีไฟแนนซ์ การออกเงินกู้ใหม่ และการซื้อขาย NFT สามารถดำเนินการได้อย่างปลอดภัยแล้ว
