Gondi 23 万美元漏洞后启动赔偿，追回被盗 NFT 返还原主

NFT 借贷协议 Gondi 于 3 月 9 日宣布，正积极采取措施补偿因智能合约漏洞而遭受损失的用户。根据安全公司 Blockaid 的估计，攻击者利用漏洞从多名受害者处窃取约 78 个 NFT，损失估计约 23 万美元。Gondi 表示，除新版「Sell & Repay」合约中的逻辑缺陷，平台所有其他功能均已恢复。

漏洞机制解析：Sell & Repay 合约的关键逻辑缺陷

「Sell & Repay」是 Gondi NFT 借贷协议的核心功能之一，允许借款人在同一捆绑交易中出售已作为抵押品托管的 NFT，并自动偿还贷款。2 月 20 日部署的最新合约版本，在「购买捆绑器」（Purchase Bundler）功能中引入了错误逻辑，未能正确验证合约调用者是否为 NFT 的合法拥有者或授权借款人，使攻击者得以绕过所有权检查，在未持有 NFT 的情况下触发转移操作。

NFT 收藏家 tinoch 估计，一名潜在受害者的损失约达 55 ETH，按观察时的市场价格约为 108,000 美元。Gondi 强调，此次漏洞的影响范围有限，处于活跃借贷状态的 NFT「在任何时候均未受到影响」。

被盗 NFT 清单：知名系列遭受波及

根据 Etherscan 数据，被转移的 78 个 NFT 涵盖多个知名系列：

Art Blocks 代币：44 个，占此次被盗 NFT 的最大比例

Doodles：10 个

Beeple「Spring Collection」：2 个

其他：多个有价值 NFT 品牌及难以替代的独一无二 1/1 艺术品

事件发生后，Gondi 迅速暂停「Sell & Repay」功能，并邀请 Blockaid 及独立审计机构对整个协议进行全面安全审查。Gondi 声明，所有其他平台活动——包括贷款偿还、再协商与再融资、发放新贷款、NFT 上架出售与交易——均可安全恢复。

Gondi 的补偿行动：三管齐下的赔偿策略

赔偿工作从三个层面同步推进：

联系受影响用户：Gondi 已主动联系所有与漏洞合约有过互动的用户，确认损失范围并开启直接沟通管道。

追回并返还被盗 NFT：Gondi 追踪到部分被盗 NFT 已被不知情的购买者转手，成功说服这些购买者将 NFT 归还给原始所有者。

协议费用回购类似品：对于无法直接追回的被盗 NFT，Gondi 开始使用协议费用从 1/1-of-X 系列中购买「类似物品」补偿受影响用户。Gondi 表示：「虽然并非完全相同的物品，但我们相信这是一个公平且有意义的解决方案，并且我们正在与每位所有者直接协调。」对于丢失独一无二 1/1 NFT 的受害者，Gondi 表示正与相关方进行「积极磋商」，以寻求个性化的补偿方案。

常见问题

Gondi 是什么平台，此次漏洞如何发生？

Gondi 是去中心化、非托管的 NFT 流动性市场与借贷协议，允许用户将 NFT 作为贷款抵押品、借出资产赚取利息或进行再融资。此次漏洞源于 2 月 20 日部署的「Sell & Repay」合约新版本中的逻辑错误，购买捆绑器功能未能正确验证调用者的合法身份，使攻击者得以在不持有 NFT 的情况下触发转移。

哪些 NFT 在此次 Gondi 漏洞中遭到窃取？

共有 78 个 NFT 通过约 40 笔交易被转移至攻击者地址，包括 44 个 Art Blocks 代币、10 个 Doodles、2 个 Beeple「Spring Collection」以及其他多个知名 NFT 品牌，部分为难以替代的独一无二 1/1 艺术品，总损失约 23 万美元。

目前 Gondi 平台是否安全恢复使用？

Gondi 表示，在 Blockaid 和独立审计机构完成协议审查后，除「Sell & Repay」功能仍处于停用状态外，所有其他平台活动均可安全恢复，包括贷款偿还、再协商、再融资、新贷款发放以及 NFT 的买卖与交易。