NFT préstamo y préstamo Gondi anunció el 9 de marzo que está tomando medidas activas para compensar a los usuarios que sufrieron pérdidas debido a una vulnerabilidad en el contrato inteligente. Según la firma de seguridad Blockaid, los atacantes aprovecharon la vulnerabilidad para robar aproximadamente 78 NFT de múltiples víctimas, con una pérdida estimada de unos 230,000 dólares. Gondi indicó que, además de un defecto lógico en la nueva versión del contrato “Sell & Repay”, todas las demás funciones de la plataforma ya han sido restauradas.
Análisis del mecanismo de la vulnerabilidad: fallo clave en la lógica del contrato Sell & Repay
“Sell & Repay” es una de las funciones principales del protocolo de préstamos NFT Gondi, que permite a los prestatarios vender en una sola transacción NFT que han sido depositados como garantía y pagar automáticamente el préstamo. La última versión del contrato, desplegada el 20 de febrero, introdujo un error lógico en la función “Purchase Bundler”, que no verificó correctamente si el llamador del contrato era el propietario legítimo del NFT o un prestatario autorizado, permitiendo a los atacantes saltarse la verificación de propiedad y activar transferencias sin poseer el NFT.
El coleccionista de NFT tinoch estima que una víctima potencial perdió unos 55 ETH, valorados en aproximadamente 108,000 dólares en el mercado en ese momento. Gondi enfatizó que el alcance de la vulnerabilidad fue limitado y que los NFT en préstamo activo “no fueron afectados en ningún momento”.
Lista de NFT robados: series conocidas afectadas
Según datos de Etherscan, los 78 NFT transferidos abarcan varias series famosas:
- Tokens Art Blocks: 44, la mayor proporción de los NFT robados
- Doodles: 10
- Beeple “Spring Collection”: 2
- Otros: varias marcas valiosas de NFT y obras de arte únicas 1/1 irremplazables
Tras el incidente, Gondi suspendió rápidamente la función “Sell & Repay” y solicitó a Blockaid y a auditores independientes realizar una revisión completa de seguridad del protocolo. Gondi afirmó que todas las demás actividades en la plataforma —incluyendo pagos de préstamos, renegociaciones, refinanciamiento, emisión de nuevos préstamos, listado y comercio de NFT— pueden reanudarse de forma segura.
Acciones de compensación de Gondi: estrategia de reparación en tres frentes
La compensación se está llevando a cabo en tres niveles simultáneamente:
- Contactar a los usuarios afectados: Gondi ha contactado proactivamente a todos los usuarios que interactuaron con el contrato vulnerable, confirmando el alcance de las pérdidas y abriendo canales de comunicación directa.
- Recuperar y devolver los NFT robados: Gondi rastreó que algunos NFT robados fueron transferidos a compradores sin conocimiento y logró convencer a estos para devolver los NFT a sus propietarios originales.
- Recompra de artículos similares con fondos del protocolo: Para los NFT robados que no se pueden recuperar directamente, Gondi comenzó a usar fondos del protocolo para comprar “artículos similares” de series 1/1 para compensar a los afectados. Gondi afirmó: “Aunque no son exactamente iguales, creemos que esta es una solución justa y significativa, y estamos coordinando directamente con cada propietario.” Para las víctimas que perdieron NFT únicos 1/1, Gondi dijo que está en “negociaciones activas” para buscar soluciones de compensación personalizadas.
Preguntas frecuentes
¿Qué es Gondi y cómo ocurrió esta vulnerabilidad?
Gondi es un mercado descentralizado y no custodial de liquidez y préstamos NFT, que permite a los usuarios usar NFT como garantía, prestar activos para ganar intereses o refinanciar. La vulnerabilidad provino de un error lógico en la nueva versión del contrato “Sell & Repay” desplegado el 20 de febrero, en la función de compra en paquete, que no verificó correctamente la identidad del llamador, permitiendo a los atacantes activar transferencias sin poseer el NFT.
¿Qué NFT fueron robados en esta vulnerabilidad de Gondi?
Un total de 78 NFT fueron transferidos a la dirección del atacante en aproximadamente 40 transacciones, incluyendo 44 tokens Art Blocks, 10 Doodles, 2 de la colección “Spring” de Beeple y varias otras marcas reconocidas, algunas de ellas obras de arte únicas 1/1 irremplazables, con una pérdida total estimada de unos 230,000 dólares.
¿Es seguro volver a usar la plataforma Gondi ahora?
Gondi afirmó que, tras la revisión completa por parte de Blockaid y auditores independientes, todas las actividades en la plataforma, excepto la función “Sell & Repay” que sigue desactivada, son seguras para reanudarse, incluyendo pagos de préstamos, renegociaciones, refinanciamiento, emisión de nuevos préstamos y compra-venta de NFT.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Oobit lanza el jueves tarjetas de agentes de IA compatibles con Visa, lo que permite gastar USDT sin conversión a fiat
Según The Block, el proveedor de carteras respaldadas por Tether Oobit lanzó el jueves AI Agent Cards, lo que permite que bots autónomos realicen compras usando saldos de USDT sin convertir a moneda fiduciaria ni acceder directamente a las credenciales de tarjetas corporativas. Las tarjetas compatibles con Visa se pueden usar en línea en cualquier lugar donde Visa esté disponible.
GateNewshace1h
AequiSolva lanza la arquitectura de IA Sentinel Stack para el trading institucional de activos digitales el 30 de abril
El 30 de abril, AequiSolva anunció el lanzamiento de la producción de su Sentinel Stack, una arquitectura de intercambio integrada con IA diseñada para mercados institucionales de activos digitales. La plataforma combina la Ejecución Determinista, la vigilancia del mercado impulsada por IA para la integridad previa a la negociación y el motor Omni-Attest para
GateNewshace2h
El principal CEX lanza el protocolo de pagos mediante agentes el 29 de abril, habilitando transacciones entre cadenas impulsadas por IA
Según un anuncio reciente, un destacado exchange de criptomonedas presentó el Protocolo de Pagos de Agentes el 29 de abril, un estándar abierto que permite que los agentes de inteligencia artificial ejecuten transacciones comerciales completas en múltiples redes blockchain sin intervención humana. El protocolo
GateNewshace3h
Circle lanza nanopagos sin gas en mainnet en 11 blockchains, habilita transferencias de $0,000001
Según la publicación del blog de Circle, Circle lanzó Nanopayments en la red principal ayer (29 de abril), ofreciendo transferencias de USDC sin gas tan pequeñas como 0,000001 USD en 11 cadenas de bloques, incluidas Arbitrum, Avalanche, Base, Ethereum, Optimism y Polygon PoS. Construido sobre Circle Gateway, el producto habilita v
GateNewshace4h
La Fundación Ethereum abre solicitudes para EPF7; el plazo vence el 13 de mayo
Según la Fundación Ethereum, las solicitudes para Ethereum Protocol Fellowship Cohort 7 (EPF7) ya están abiertas, con una fecha límite del 13 de mayo. El programa tiene como objetivo desarrollar ingenieros capaces de contribuir al núcleo de Ethereum
GateNewshace4h
