Gondi 23 мільйонів доларів США вразливість після запуску компенсацій, повернення викрадених NFT назад власнику

NFT-кредитна угода Gondi 9 березня оголосила, що активно вживає заходів щодо компенсації користувачам, які зазнали збитків через вразливість у смарт-контракті. За оцінками компанії з безпеки Blockaid, зловмисники використали цю вразливість для крадіжки близько 78 NFT у кількох жертв, що спричинило збитки приблизно на 230 000 доларів США. Gondi заявила, що крім логічної помилки у новій версії контракту «Sell & Repay», всі інші функції платформи вже відновлено.

Аналіз механізму вразливості: ключова логічна помилка у контракті Sell & Repay

«Sell & Repay» є однією з основних функцій NFT-кредитної платформи Gondi, яка дозволяє позичальникам у рамках однієї транзакції продавати NFT, що виступають у ролі застави, та автоматично погашати кредит. Остання версія контракту, розгорнута 20 лютого, містила логічну помилку у функції «Purchase Bundler», яка неправильно перевіряла, чи є виконавець контракту законним власником або уповноваженим позичальником NFT. Це дозволило зловмисникам обійти перевірку власності та ініціювати переказ NFT без їхнього фактичного володіння.

NFT-колекціонер tinoch оцінив, що потенційні збитки одного з постраждалих можуть становити близько 55 ETH, що за тодішнім ринковим курсом приблизно дорівнює 108 000 доларам США. Gondi підкреслила, що масштаб впливу цієї вразливості обмежений і що NFT, які перебувають у активній позичальній фазі, ніколи не були піддані ризику.

Список викрадених NFT: постраждали відомі серії

За даними Etherscan, 78 викрадених NFT були переведені на зловмисницькі адреси у понад 40 транзакціях, серед них:

• Токени Art Blocks: 44, що становлять найбільшу частку викрадених NFT

• Doodles: 10

• Beeple «Spring Collection»: 2

• Інші: кілька цінних брендів NFT та унікальні 1/1 художні роботи, що важко замінити

Після інциденту Gondi швидко призупинила функцію «Sell & Repay» і запросила компанії Blockaid та незалежних аудиторів провести всебічну безпекову перевірку всього протоколу. Gondi заявила, що всі інші функції платформи — включаючи погашення кредитів, повторні переговори, рефінансування, видачу нових кредитів, виставлення NFT на продаж і торгівлю — можна безпечно відновити.

Дії Gondi щодо компенсації: багаторівнева стратегія відшкодування

Процес компенсації здійснюється у три напрямки одночасно:

• Зв’язок із постраждалими користувачами: Gondi активно контактує з усіма користувачами, які взаємодіяли з уразливим контрактом, щоб підтвердити обсяг збитків і налагодити прямий канал зв’язку.

• Відновлення та повернення викрадених NFT: Gondi відслідкувала частину викрадених NFT, які були перепродані недосвідченими покупцями, і переконала їх повернути NFT власникам.

• Викуп подібних предметів за рахунок комісій протоколу: для NFT, які не можна безпосередньо повернути, Gondi почала використовувати частину комісійних зборів для купівлі «подібних» предметів із серії 1/1-X для компенсації постраждалих. Gondi зазначила: «Хоча це й не ідентичні предмети, ми вважаємо, що це справедливе та значуще рішення, і ми безпосередньо координуємо з кожним власником». Щодо тих, хто втратили унікальні 1/1 NFT, Gondi повідомила, що ведуться «активні переговори» для пошуку індивідуальних компенсацій.

Часті запитання

Що таке Gondi і як сталася ця вразливість?
Gondi — це децентралізований, некастодіальний ринок NFT та кредитний протокол, який дозволяє користувачам використовувати NFT як заставу для позик, отримувати відсотки або рефінансувати. Вразливість виникла через логічну помилку у новій версії контракту «Sell & Repay», розгорнутій 20 лютого, яка неправильно перевіряла легітимність виконавця функції, що дозволило зловмисникам ініціювати переказ NFT без їхнього володіння.

Які NFT були викрадені у цій атаці?
Загалом було переведено 78 NFT у понад 40 транзакціях на зловмисницькі адреси, серед них 44 Art Blocks, 10 Doodles, 2 Beeple «Spring Collection» та інші відомі бренди NFT. Частина з них — унікальні 1/1 художні роботи. Загальні збитки оцінюються приблизно у 230 000 доларів США.

Чи безпечно зараз користуватися платформою Gondi?
Gondi повідомила, що після завершення перевірки протоколу компаніями Blockaid та незалежними аудиторами, окрім функції «Sell & Repay», яка залишилась тимчасово вимкненою, всі інші операції — погашення кредитів, повторні переговори, рефінансування, видача нових кредитів, торгівля NFT — можна безпечно відновити.