Gondi NFT平台确认价值23万美元的合约被利用，正采取措施让用户恢复损失

NFT借贷协议Gondi已修复一项漏洞，导致大约78个NFT被盗，估值约23万美元，涉及多名用户，源于2026年2月20日部署的有缺陷的智能合约升级。

团队已禁用存在漏洞的“卖出与还款”功能，同时确认平台其他功能仍然安全，并正积极通过直接赔偿、资产追踪和协议手续费补偿等方式，向受影响用户进行赔偿。

漏洞详情与技术原因

有漏洞的合约升级

此次漏洞与Gondi新部署的“卖出与还款”合约版本有关，该合约是平台NFT借贷协议的一个组成部分，允许借款人在一笔交易中出售托管的NFT并自动偿还贷款。该升级合约于2026年2月20日部署。

安全公司Blockaid发现，合约中的“购买打包器”函数引入了错误逻辑，未能正确验证调用者是否为交易中NFT的合法所有者或借款人。这一疏漏使攻击者能够触发未授权转账，从多名用户处提取资产。

攻击范围

根据Etherscan数据显示，约78个NFT在大约40笔交易中被盗，资金流向一个被标记为“GONDI Exploiter”的钱包。被盗资产包括44个Art Blocks代币、10个Doodles、两个来自Beeple的“春季系列”NFT，以及其他知名系列的珍贵作品。

NFT收藏家tinoch估算，单一受影响用户就损失了约55 ETH，按当时汇率约合108,000美元。受害者总数未公开，但多个钱包受到影响。

平台响应与修复措施

立即行动

Gondi在发现问题后迅速禁用受影响的“卖出与还款”功能。团队表示，功能仍处于离线状态，修复方案正在部署和验证中。其他所有平台功能，包括买卖、挂单、出价、交易、再融资和新贷款，都已确认完全正常且安全恢复。

协议强调，活跃贷款相关的NFT在事件中从未处于风险之中。此次漏洞仅限于负责打包销售和还款的特定合约函数，平台的其他部分未受影响。

安全审查

自攻击发生以来，安全公司Blockaid和独立审计机构已对协议进行了审查。Gondi撤回了之前的警告，确认用户无需担心平台安全，整个协议未受影响，所有活动可以安全继续。

用户赔偿措施

直接赔偿

Gondi已开始与受影响用户直接合作，恢复丢失资产或在无法追踪到资产时提供补偿。团队已联系与漏洞合约交互的钱包，启动赔偿流程。

在一些情况下，项目追踪到被购买NFT的买家，发现他们可能未意识到这些代币源自漏洞。尽可能将这些NFT返还给原始所有者。

补偿机制

协议已开始利用收取的手续费购买“类似收藏品”以弥补受影响用户的损失，当无法追回相同NFT时。团队表示：“虽然不是完全相同的作品，但我们认为这是一个公平且有意义的解决方案，并正与每位所有者直接协调。”

对于无法轻易替换的唯一NFT，Gondi表示正与受影响的收藏家积极讨论替代方案。

平台背景与风险概况

Gondi的借贷模型

Gondi作为一个去中心化的非托管NFT流动性市场和借贷协议，允许用户将NFT作为抵押品借款、出借资产赚取利息，以及再融资NFT头寸。平台使借款人无需出售数字资产即可获取流动性。

“卖出与还款”功能尤其复杂，因为它将多项操作打包成一笔交易——同时出售抵押品和偿还贷款。当所有权验证步骤失败时，攻击者便能利用这一自动化漏洞。

智能合约风险

像Gondi这样的平台需要复杂的智能合约来协调抵押品管理、贷款发放、还款和资产转移。这些合约中的微小逻辑错误都可能成为攻击入口，特别是在合约升级修改资产所有权验证或交易授权逻辑时，风险尤为升高。

常见问题：Gondi漏洞

问：Gondi漏洞的原因是什么？
答：漏洞源于2026年2月20日对“卖出与还款”合约的升级中引入的逻辑错误。“购买打包器”函数未能正确验证调用者是否为NFT的合法所有者或借款人，导致攻击者能够触发未授权转账，盗取约78个NFT，价值23万美元。

问：损失了多少，受影响的是谁？
答：大约78个NFT在40笔交易中被盗，包括Art Blocks、Doodles和Beeple系列的资产。一名受影响用户损失了约55 ETH，价值约108,000美元。受害者总数未公开，但多个钱包受到影响。

问：Gondi如何赔偿受害者？
答：Gondi正直接赔偿受影响用户，追踪追回被盗NFT（尤其是那些买家未意识到来源的），并利用协议手续费购买类似收藏品以弥补无法追回的NFT损失。对于独一无二的NFT，正与受影响的收藏家讨论替代方案。

问：Gondi平台现在安全使用吗？
答：受影响的“卖出与还款”功能仍处于禁用状态，等待修复，但其他所有功能，包括买卖、挂单、出价、交易和贷款活动，已确认安全可用。安全公司Blockaid和独立审计机构已对协议进行了审查。