La plataforma de NFT Gondi toma medidas para indemnizar a los usuarios tras exploit de contrato de $230,000

La plataforma de NFT Gondi ha contenido una reciente explotación que permitió a un atacante robar docenas de NFTs de varias víctimas, con pérdidas estimadas en aproximadamente $230,000, según Blockaid. El equipo ahora está enfocado en hacer que "los usuarios afectados sean restituidos", según una actualización del lunes. 

Según una publicación anterior en X de Gondi, el ataque estuvo relacionado con una versión recién desplegada de su contrato Sell & Repay, una parte del protocolo de préstamos NFT de Gondi que permite a los prestatarios vender NFTs en custodia y repagar préstamos automáticamente en una transacción agrupada. 

Una nueva versión del contrato fue desplegada el 20 de febrero, aparentemente introduciendo una lógica defectuosa en su función "Purchase Bundler" que no verificaba adecuadamente si el llamante del contrato era el legítimo propietario o prestatario de un NFT. 

Según Etherscan, alrededor de 78 NFTs fueron drenados a través de unas 40 transacciones hacia una dirección ahora etiquetada como GONDI Exploiter. Esto incluye una transferencia de 44 tokens de Art Blocks, 10 Doodles, 2 de la “Spring Collection” de Beeple, y otras marcas valiosas de NFTs.

El coleccionista de NFT tinoch estimó que una potencial víctima por sí sola perdió alrededor de 55 ETH, con un valor aproximado de $108,000 en el momento de la observación. 

“La función Sell & Repay permanece deshabilitada mientras implementamos una solución. Toda la demás funcionalidad está completamente operativa,” dijo Gondi. El equipo señaló que la explotación fue limitada y que los NFTs en préstamos activos “no fueron afectados, en ningún momento.” Asimismo, las otras funciones de compra, venta, listado, ofertas y comercio de la plataforma no se vieron afectadas. 

Gondi indicó que toda la actividad en la plataforma es segura para reanudarse, incluyendo repagar, renegociar y refinanciar préstamos, iniciar nuevos préstamos y listar NFTs para venta, comprar, aceptar ofertas y comercializar.

La actualización revirtió una publicación anterior que advertía a los usuarios contra interactuar con la plataforma. Según el anuncio, Blockaid y un auditor independiente han revisado el protocolo desde el ataque.

Actualizaciones de restitución

Gondi ya ha tomado medidas para reembolsar a los usuarios afectados, incluyendo contactar a aquellos que interactuaron con el contrato vulnerable.

El equipo también ha rastreado varios NFTs robados que fueron comprados por compradores aparentemente ajenos al exploit para devolverlos a sus propietarios originales. 

Además, Gondi ha comenzado a utilizar las tarifas del protocolo para adquirir "artículos comparables" de colecciones 1/1-of-X para compensar pérdidas de usuarios afectados. "Aunque no es la misma pieza exacta, creemos que esta es una resolución justa y significativa y estamos coordinando directamente con cada propietario," escribió Gondi. De manera similar, el equipo está "en conversaciones activas con las partes relevantes" que perdieron NFTs únicos que no pueden ser reemplazados fácilmente.

The Block contactó a Gondi para obtener comentarios.

Gondi es un mercado de liquidez NFT descentralizado y no custodial, y un protocolo de préstamos que permite a los usuarios usar NFTs como garantía para préstamos, prestar activos para ganar intereses sobre esos préstamos y refinanciar sus posiciones NFT.