NFT-кредитна угода Gondi 9 березня оголосила, що активно вживає заходів щодо компенсації користувачам, які зазнали збитків через вразливість у смарт-контракті. За оцінками компанії з безпеки Blockaid, зловмисники використали цю вразливість для крадіжки близько 78 NFT у кількох жертв, що спричинило збитки приблизно на 230 000 доларів США. Gondi заявила, що крім логічної помилки у новій версії контракту «Sell & Repay», всі інші функції платформи вже відновлено.
Аналіз механізму вразливості: ключова логічна помилка у контракті Sell & Repay
«Sell & Repay» є однією з основних функцій NFT-кредитної платформи Gondi, яка дозволяє позичальникам у рамках однієї транзакції продавати NFT, що виступають у ролі застави, та автоматично погашати кредит. Остання версія контракту, розгорнута 20 лютого, містила логічну помилку у функції «Purchase Bundler», яка неправильно перевіряла, чи є виконавець контракту законним власником або уповноваженим позичальником NFT. Це дозволило зловмисникам обійти перевірку власності та ініціювати переказ NFT без їхнього фактичного володіння.
NFT-колекціонер tinoch оцінив, що потенційні збитки одного з постраждалих можуть становити близько 55 ETH, що за тодішнім ринковим курсом приблизно дорівнює 108 000 доларам США. Gondi підкреслила, що масштаб впливу цієї вразливості обмежений і що NFT, які перебувають у активній позичальній фазі, ніколи не були піддані ризику.
Список викрадених NFT: постраждали відомі серії
За даними Etherscan, 78 викрадених NFT були переведені на зловмисницькі адреси у понад 40 транзакціях, серед них:
-
Токени Art Blocks: 44, що становлять найбільшу частку викрадених NFT
-
Doodles: 10
-
Beeple «Spring Collection»: 2
-
Інші: кілька цінних брендів NFT та унікальні 1/1 художні роботи, що важко замінити
Після інциденту Gondi швидко призупинила функцію «Sell & Repay» і запросила компанії Blockaid та незалежних аудиторів провести всебічну безпекову перевірку всього протоколу. Gondi заявила, що всі інші функції платформи — включаючи погашення кредитів, повторні переговори, рефінансування, видачу нових кредитів, виставлення NFT на продаж і торгівлю — можна безпечно відновити.
Дії Gondi щодо компенсації: багаторівнева стратегія відшкодування
Процес компенсації здійснюється у три напрямки одночасно:
-
Зв’язок із постраждалими користувачами: Gondi активно контактує з усіма користувачами, які взаємодіяли з уразливим контрактом, щоб підтвердити обсяг збитків і налагодити прямий канал зв’язку.
-
Відновлення та повернення викрадених NFT: Gondi відслідкувала частину викрадених NFT, які були перепродані недосвідченими покупцями, і переконала їх повернути NFT власникам.
-
Викуп подібних предметів за рахунок комісій протоколу: для NFT, які не можна безпосередньо повернути, Gondi почала використовувати частину комісійних зборів для купівлі «подібних» предметів із серії 1/1-X для компенсації постраждалих. Gondi зазначила: «Хоча це й не ідентичні предмети, ми вважаємо, що це справедливе та значуще рішення, і ми безпосередньо координуємо з кожним власником». Щодо тих, хто втратили унікальні 1/1 NFT, Gondi повідомила, що ведуться «активні переговори» для пошуку індивідуальних компенсацій.
Часті запитання
Що таке Gondi і як сталася ця вразливість?
Gondi — це децентралізований, некастодіальний ринок NFT та кредитний протокол, який дозволяє користувачам використовувати NFT як заставу для позик, отримувати відсотки або рефінансувати. Вразливість виникла через логічну помилку у новій версії контракту «Sell & Repay», розгорнутій 20 лютого, яка неправильно перевіряла легітимність виконавця функції, що дозволило зловмисникам ініціювати переказ NFT без їхнього володіння.
Які NFT були викрадені у цій атаці?
Загалом було переведено 78 NFT у понад 40 транзакціях на зловмисницькі адреси, серед них 44 Art Blocks, 10 Doodles, 2 Beeple «Spring Collection» та інші відомі бренди NFT. Частина з них — унікальні 1/1 художні роботи. Загальні збитки оцінюються приблизно у 230 000 доларів США.
Чи безпечно зараз користуватися платформою Gondi?
Gondi повідомила, що після завершення перевірки протоколу компаніями Blockaid та незалежними аудиторами, окрім функції «Sell & Repay», яка залишилась тимчасово вимкненою, всі інші операції — погашення кредитів, повторні переговори, рефінансування, видача нових кредитів, торгівля NFT — можна безпечно відновити.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Metaplanet отримує фінансування на покупку біткоїнів завдяки «королю спіралей смерті в Токіо»; чи зможе вижити перед зростанням біткоїна лише за допомогою EVO?
Bloomberg報告美籍投資人麥可‧勒奇及其EVO基金,專注於為中小企業提供資金流動性,以浮動履約價認股權證為主。EVO在日本市場主導地位,但其融資工具也面臨股權稀釋的風險。Metaplanet與EVO合作,轉型為біткоїн-резервна компанія, але його ціна акцій і підвищена залежність від фінансування збільшують операційну невизначеність. Метaplanet співпрацює з EVO, щоб перейти на модель біткоїн-резервної компанії, але його коливання ціни акцій та залежність від капіталу посилюють невизначеність у діяльності.
ChainNewsAbmedia1год тому
NAT Офіційно Запущено на SpiderPool, Що Дозволяє BTC Дуальний Майнінг в Одному Блоці
NAT запущено на SpiderPool, що дає змогу виконувати дуальний майнінг з Bitcoin без додаткового налаштування. Він генерує 386 мільйонів NAT за блок кожні 10 хвилин, що оцінюється в $38, із загальною ринковою капіталізацією $38 млн. Код є відкритим.
GateNews2год тому
Gate щоденник (17 квітня): X Money Маска натрапляє на перешкоди нью-йоркського крипторегулювання; Yuga Labs призначає нового CEO
Біткоїн(BTC)без змін відносно 74,920 долара, набрала чинності угода про припинення вогню між Ізраїлем і Ліваном, Трамп заявив, що Іран погодився не мати ядерної зброї. Міцубісі-банк попередив, що X Money Маска може постраждати через нью-йоркське регулювання криптовалют. Yuga Labs змінила генерального директора: Грег Солано перейшов на посаду голови наглядової ради, Майкл Фігг очолив компанію. Ринок загалом налаштований оптимістично: з’явився найбільший за 10 років приплив покупців біткоїна, що натякає на можливе наближення ціни до 90 тис. доларів.
MarketWhisper3год тому
Yuga Labs призначає Майкла Фігге CEO, Грег Солано стає головою ради директорів
Yuga Labs призначила Майкла Фігге на посаду CEO, перевівши засновника Грега Солано на посаду голови ради директорів. Фігге, який раніше був головним директором із продукту (Chief Product Officer), виконував обов’язки CEO. Солано зосередиться на креативному керуванні в міру того, як компанія розвиватиме свій проєкт у метавсесвіті Otherside.
GateNews4год тому
Джастін Сан оголошує перехід TRON на PQ, критикує Bitcoin та Ethereum
Джастін Сан запустив план оновлення TRON PQ, позиціонуючи його як перший великий блокчейн, який упровадить технології, стійкі до квантових атак, водночас критикуючи Bitcoin і Ethereum за їх повільніший прогрес у протидії квантовим загрозам.
Blockzeit6год тому
Sweat Economy отримує патент на верифікацію руху в Нігерії та подає заявки на європейські патенти
Sweat Economy отримала патент на свою систему верифікації руху в Нігерії, посилюючи її екосистему M2E на NEAR Protocol. Компанія перевіряє активність користувачів через свій застосунок Sweatcoin, дозволяючи користувачам заробляти $SWEAT токени. Це схвалення підвищує довіру до її технології та підтримує подальші заявки на патенти в Європі.
GateNews7год тому
