O protocolo de empréstimo NFT Gondi anunciou a 9 de março que está a tomar medidas ativas para compensar os utilizadores que sofreram perdas devido a uma vulnerabilidade no contrato inteligente. De acordo com a empresa de segurança Blockaid, os atacantes aproveitaram a vulnerabilidade para roubar cerca de 78 NFTs de múltiplas vítimas, com perdas estimadas em aproximadamente 230.000 dólares. A Gondi afirmou que, exceto pelo defeito lógico no novo contrato “Sell & Repay”, todas as outras funcionalidades da plataforma já foram restabelecidas.
Análise do mecanismo da vulnerabilidade: Defeito lógico crítico no contrato Sell & Repay
“O Sell & Repay” é uma das funções centrais do protocolo de empréstimo NFT Gondi, permitindo que os mutuários vendam NFTs que estão a ser utilizados como garantia numa única transação agrupada, e que o empréstimo seja automaticamente liquidado. A versão mais recente do contrato, implantada a 20 de fevereiro, introduziu uma lógica incorreta na funcionalidade “Purchase Bundler”, que não verificou corretamente se o chamador do contrato era o legítimo proprietário ou autorizado do NFT, permitindo que os atacantes contornassem a verificação de propriedade e desencadeassem transferências sem possuir o NFT.
O colecionador de NFTs tinoch estima que uma vítima potencial tenha sofrido perdas de cerca de 55 ETH, que na altura do mercado equivaleriam a aproximadamente 108.000 dólares. A Gondi destacou que o impacto da vulnerabilidade foi limitado, e que os NFTs que estavam em estado de empréstimo ativo “não foram afetados em momento algum”.
Lista de NFTs roubados: séries conhecidas afetadas
De acordo com dados do Etherscan, os 78 NFTs transferidos abrangem várias séries de renome:
- Tokens Art Blocks: 44, representando a maior proporção dos NFTs roubados
- Doodles: 10
- Beeple “Spring Collection”: 2
- Outros: várias marcas valiosas de NFTs e obras de arte únicas 1/1, difíceis de substituir
Após o incidente, a Gondi suspendeu rapidamente a funcionalidade “Sell & Repay” e convidou a Blockaid e uma entidade de auditoria independente a realizar uma revisão completa de segurança do protocolo. A Gondi declarou que todas as outras atividades na plataforma — incluindo o pagamento de empréstimos, renegociações, reestruturações, emissão de novos empréstimos, listagem e troca de NFTs — podem ser retomadas com segurança.
Ações de compensação da Gondi: uma estratégia tripartida de reparação
A compensação está a ser conduzida em três frentes simultaneamente:
- Contato com os utilizadores afetados: A Gondi entrou em contacto proativamente com todos os utilizadores que interagiram com o contrato vulnerável, confirmando o alcance das perdas e abrindo canais de comunicação direta.
- Recuperação e devolução dos NFTs roubados: A Gondi rastreou alguns NFTs roubados que foram transferidos para compradores desavisados, conseguindo persuadi-los a devolver os NFTs aos seus legítimos proprietários.
- Recompra de itens similares usando taxas do protocolo: Para os NFTs roubados que não puderem ser recuperados diretamente, a Gondi começou a usar as taxas do protocolo para comprar “itens similares” de séries 1/1 ou de quantidade limitada, como forma de compensar os utilizadores afetados. A Gondi afirmou: “Embora não sejam exatamente os mesmos itens, acreditamos que esta é uma solução justa e significativa, e estamos a coordenar diretamente com cada proprietário.” Para os vítimas que perderam NFTs únicos 1/1, a Gondi disse estar em “negociações ativas” com as partes relevantes para oferecer uma compensação personalizada.
Perguntas frequentes
O que é a plataforma Gondi e como ocorreu a vulnerabilidade?
A Gondi é um mercado descentralizado de liquidez e protocolo de empréstimo de NFTs, que permite aos utilizadores usar NFTs como garantia de empréstimos, emprestar ativos para ganhar juros ou reestruturar financiamentos. A vulnerabilidade resultou de um erro lógico na nova versão do contrato “Sell & Repay”, implantada a 20 de fevereiro, cujo funcionalidade de “Purchase Bundler” não verificou corretamente a identidade do chamador, permitindo que atacantes desencadeassem transferências sem possuir o NFT.
Quais NFTs foram roubados nesta vulnerabilidade da Gondi?
Foram transferidos 78 NFTs através de cerca de 40 transações, incluindo 44 tokens Art Blocks, 10 Doodles, 2 NFTs da “Spring Collection” de Beeple, além de várias outras marcas de renome, incluindo obras de arte únicas 1/1. As perdas totais estimadas são de aproximadamente 230.000 dólares.
A plataforma Gondi está atualmente segura e operacional?
A Gondi afirmou que, após a conclusão da auditoria por parte da Blockaid e de uma entidade de auditoria independente, todas as atividades na plataforma — exceto a funcionalidade “Sell & Repay”, que permanece desativada — podem ser retomadas com segurança, incluindo o pagamento de empréstimos, renegociações, emissão de novos empréstimos e a compra e venda de NFTs.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A guerra de governação da Aave termina: a proposta AWW é aprovada de forma esmagadora “toda a receita de produtos passa para a DAO”, $AAVE torna-se o único ativo central
Fundador da Aave Stani Kulechov anunciou que a proposta «Aave Will Win» foi aprovada, passando todas as receitas dos produtos de aplicação para a DAO, e posicionando o $AAVE como o único ativo central, com o objetivo de alargar a dimensão do protocolo para 1 bilião de dólares. Esta proposta encerrou a crise de governação da Aave, estabeleceu um novo fluxo de receitas e princípios de governação, com o intuito de reforçar a confiança da comunidade e o valor.
動區BlockTempo35m atrás
A equipa de desenvolvimento central do Zcash, a ZODL, publica um roteiro estratégico, com foco na segurança pós-quântica e na expansão da base de utilizadores
A equipa principal de desenvolvimento da Zcash ZODL publicou o mais recente roteiro estratégico, com foco em segurança pós-quântica, escalabilidade à escala e experiência do utilizador, entrando na fase Zcash IV. A nova versão já está em funcionamento, com melhorias na experiência do utilizador e avanço do desenvolvimento fundamental. Além disso, a ZODL participa ativamente em colaborações na indústria, mas, devido a questões regulamentares, removeu temporariamente a loja de aplicações russa.
GateNews1h atrás
Hyperliquid rejeita um financiamento de 1 mil milhões de dólares: Jeff Yan mantém a regra de não ter investidores
O fundador da Hyperliquid, Jeffrey Yan, recusou a ronda de financiamento após receber uma intenção de investimento de 100 milhões de dólares com uma avaliação de cerca de 1 mil milhões de dólares, para manter a neutralidade do acordo. Ele considerou que a introdução de capital externo prejudicaria a confiança dos utilizadores no acordo e optou por apoiar a operação com fundos pessoais. Os quatro pilares da Hyperliquid destacam um modelo de funcionamento extremamente descentralizado e sem acionistas externos, para se diferenciar de outros projetos DeFi.
MarketWhisper4h atrás
Pi Network grande transformação: implementação de 210 aplicações na ecossistema, 23 mil programadores prontos
O ecossistema da Pi Network está a acelerar a sua transição, com mais de 210 aplicações ativas e 23.000 programadores a participar ativamente no Pi Studio, abrangendo várias áreas como transações, interação com a comunidade, educação, jogos, entre outras. A diversidade do ecossistema evidencia indicadores de um desenvolvimento saudável, e a atividade dos programadores tem impulsionado a otimização contínua das aplicações. No futuro, a melhoria da utilidade da mainnet será um desafio fundamental, incluindo questões que precisam de ser resolvidas com urgência, como escalabilidade, segurança e taxas de adoção pelos utilizadores.
MarketWhisper9h atrás
O fundador da Bittensor acusa o ex-irmão de violação de confiança, a queda acentuada do TAO desencadeia 9,1 milhões de liquidações
O cofundador da Bittensor, Jacob Steeves, acusa Simon Dare, da Covenant AI, de causar deliberadamente danos ao acordo, levando a uma queda acentuada do token TAO. Steeves propõe um mecanismo de garantia bloqueada, para executar as obrigações através de código on-chain, impedindo a saída repentina dos fundadores. Embora tenha surgido uma crise, a arquitectura open source da Bittensor continua a garantir o funcionamento contínuo do acordo e irá brevemente realizar uma reunião para apresentar o novo mecanismo.
MarketWhisper9h atrás
A equipa “Scroll” ajustou manualmente os parâmetros da taxa, e os utilizadores foram cobrados em excesso em mais de 50.000 dólares em taxas de transação no prazo de quatro dias
A rede Layer 2 da Ethereum, Scroll, devido ao aumento manual do multiplicador do preço do Gas, levou a que cerca de 139.000 transacções cobrassem em excesso mais de 50.000 dólares em taxas, ficando os custos reais muito acima do esperado. Este incidente suscitou dúvidas externas quanto à sua estratégia de subsídios, e o TVL da Scroll também caiu de forma acentuada para 24 milhões de dólares.
GateNews9h atrás
