Hợp đồng cho vay NFT Gondi ngày 9 tháng 3 đã thông báo rằng họ đang tích cực thực hiện các biện pháp bồi thường cho các người dùng bị thiệt hại do lỗ hổng hợp đồng thông minh. Theo ước tính của công ty an ninh Blockaid, kẻ tấn công đã lợi dụng lỗ hổng để trộm khoảng 78 NFT từ nhiều nạn nhân, thiệt hại ước tính khoảng 230.000 USD. Gondi cho biết, ngoài lỗi logic trong hợp đồng mới “Sell & Repay”, tất cả các chức năng khác của nền tảng đã được khôi phục.
Phân tích cơ chế lỗ hổng: Những điểm thiếu sót chính trong hợp đồng Sell & Repay
“Sell & Repay” là một trong những chức năng cốt lõi của giao thức cho vay NFT Gondi, cho phép người vay bán NFT đã được cầm cố trong cùng một giao dịch gói và tự động thanh toán khoản vay. Phiên bản hợp đồng mới được triển khai vào ngày 20 tháng 2 đã mắc lỗi logic trong chức năng “Purchase Bundler”, không xác minh đúng đắn xem người gọi hợp đồng có phải là chủ sở hữu hợp pháp hoặc người được ủy quyền của NFT hay không, khiến kẻ tấn công có thể bỏ qua kiểm tra quyền sở hữu và thực hiện thao tác chuyển NFT mà không cần sở hữu NFT đó.
Nhà sưu tập NFT tinoch ước tính, thiệt hại của một nạn nhân tiềm năng khoảng 55 ETH, theo giá thị trường tại thời điểm đó khoảng 108.000 USD. Gondi nhấn mạnh rằng phạm vi ảnh hưởng của lỗ hổng này là hạn chế, các NFT đang trong trạng thái vay mượn hoạt động vẫn chưa bị ảnh hưởng ở bất kỳ thời điểm nào.
Danh sách NFT bị đánh cắp: Các bộ sưu tập nổi tiếng bị ảnh hưởng
Theo dữ liệu của Etherscan, 78 NFT bị chuyển đi bao gồm nhiều bộ sưu tập nổi tiếng:
- Token Art Blocks: 44 chiếc, chiếm tỷ lệ lớn nhất trong số NFT bị đánh cắp
- Doodles: 10 chiếc
- Beeple “Spring Collection”: 2 chiếc
- Các bộ sưu tập khác: nhiều NFT có giá trị cao và các tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế
Sau sự kiện, Gondi đã nhanh chóng tạm dừng chức năng “Sell & Repay” và mời Blockaid cùng các tổ chức kiểm toán độc lập tiến hành kiểm tra toàn diện về độ an toàn của hợp đồng. Gondi tuyên bố rằng tất cả các hoạt động khác của nền tảng — bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới, niêm yết và giao dịch NFT — đều có thể được khôi phục một cách an toàn.
Hành động bồi thường của Gondi: Chiến lược đền bù toàn diện
Việc bồi thường được tiến hành đồng bộ trên ba cấp độ:
- Liên hệ với người dùng bị ảnh hưởng: Gondi đã chủ động liên hệ với tất cả các người dùng đã từng tương tác với hợp đồng có lỗ hổng để xác nhận phạm vi thiệt hại và mở ra kênh giao tiếp trực tiếp.
- Thu hồi và hoàn trả NFT bị đánh cắp: Gondi đã theo dõi và phát hiện một số NFT bị đánh cắp đã bị người mua không biết chuyển nhượng, thành công thuyết phục các người mua này trả lại NFT cho chủ sở hữu ban đầu.
- Mua lại các mặt hàng tương tự bằng phí hợp đồng: Đối với các NFT bị đánh cắp không thể thu hồi trực tiếp, Gondi bắt đầu sử dụng phí của hợp đồng để mua các “tương tự” trong các series 1/1-of-X nhằm đền bù cho người dùng bị ảnh hưởng. Gondi cho biết: “Dù không phải là cùng một vật phẩm hoàn toàn, nhưng chúng tôi tin rằng đây là một giải pháp công bằng và có ý nghĩa, và chúng tôi đang trực tiếp phối hợp với từng chủ sở hữu.” Đối với những người bị mất NFT 1/1 độc nhất vô nhị, Gondi cho biết đang tiến hành “thảo luận tích cực” với các bên liên quan để tìm kiếm các phương án đền bù cá nhân hóa.
Các câu hỏi thường gặp
Gondi là nền tảng gì, lỗ hổng này xảy ra như thế nào?
Gondi là một thị trường thanh khoản NFT phi tập trung, không quản lý, cho phép người dùng cầm cố NFT làm tài sản thế chấp vay vốn, cho vay hoặc tái cấp vốn. Lỗ hổng này xuất phát từ lỗi logic trong phiên bản hợp đồng “Sell & Repay” mới được triển khai vào ngày 20 tháng 2, chức năng mua gói không xác minh đúng danh tính người gọi, khiến kẻ tấn công có thể thực hiện chuyển NFT mà không cần sở hữu.
Những NFT nào đã bị đánh cắp trong lỗ hổng của Gondi?
Có tổng cộng 78 NFT đã bị chuyển đến địa chỉ của kẻ tấn công qua khoảng 40 giao dịch, bao gồm 44 token Art Blocks, 10 Doodles, 2 NFT trong bộ sưu tập “Spring Collection” của Beeple và nhiều thương hiệu NFT nổi tiếng khác, trong đó có một số tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế, tổng thiệt hại khoảng 230.000 USD.
Hiện tại nền tảng Gondi có an toàn để sử dụng trở lại không?
Gondi cho biết, sau khi Blockaid và các tổ chức kiểm toán độc lập hoàn tất kiểm tra hợp đồng, ngoài việc tạm thời ngưng chức năng “Sell & Repay”, tất cả các hoạt động khác của nền tảng đều có thể được khôi phục một cách an toàn, bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới và mua bán, giao dịch NFT.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
MicroStrategy Đề Xuất Cổ Tức Nửa Tháng Một Lần cho STRC để Cải Thiện Thanh Khoản và Ổn Định Giá Cổ Phiếu
MicroStrategy đã đề xuất thay đổi cổ tức cổ phiếu ưu đãi STRC từ hàng tháng sang nửa tháng một lần để tăng thanh khoản và ổn định giá cổ phiếu, đồng thời giữ mức lợi suất hằng năm 11,5%. Những lo ngại về cấu trúc này đã được Bitcoin critic Peter Schiff nêu ra.
GateNews39phút trước
Pi Network Ra Mắt Tính Năng Smart Contract Đầu Tiên Trên Testnet, Cho Phép Thanh Toán Theo Gói
Pi Network đã ra mắt tính năng Smart Contract đầu tiên trên Testnet, cho phép người dùng thiết lập thanh toán tự động theo gói trong khi vẫn giữ quyền kiểm soát đối với quỹ của mình. Điều này đánh dấu bước chuyển hướng sang tiện ích hệ sinh thái và tạo nền tảng cho khả năng triển khai trên mainnet.
GateNews1giờ trước
Topnod Self-Custody Wallet Trở thành Đối tác Chính thức của Blockchain Layer1 Pharos
Topnod đã hợp tác với blockchain Layer1 Pharos, cung cấp một ví tự giám sát (self-custody) thân thiện với người dùng, giúp đơn giản hóa việc truy cập các tài sản ngoài đời thực. Nền tảng sẽ hỗ trợ các hoạt động airdrop của Pharos và tạo điều kiện cho việc phân phối các tài sản RWA trên chuỗi Pharos.
GateNews4giờ trước
Buck Protocol Thông Báo Đóng Cửa, Người Nắm Giữ Nhận Hoàn Trả Toàn Bộ
Giao thức Buck đã công bố ngừng hoạt động ngay lập tức, đảm bảo người nắm giữ nhận lại 100% vốn với các dự trữ được bảo đảm đầy đủ. Một thời gian yêu cầu hoàn lại đã mở, không giới hạn thời gian để lấy lại tài sản.
GateNews6giờ trước
Giám đốc điều hành Evernorth cho biết XRP phát triển từ tài sản cầu nối thành tài sản thế chấp cho DeFi
Giám đốc điều hành của Evernorth, Asheesh Birla, đang chuyển vai trò của XRP từ một công cụ thanh toán sang một tài sản mang lại giá trị trong tài chính phi tập trung, tập trung vào hiệu quả sử dụng vốn. Công ty đặt mục tiêu kích hoạt nguồn vốn nhàn rỗi thông qua các sáng kiến như cho vay XRP gốc, định vị XRP như một nhân tố then chốt trong các thị trường tín dụng.
CryptoFrontier9giờ trước
Sui Ra Mắt Stablecoin USDsui Trên Toàn Bộ Hệ Sinh Thái DeFi
Sui đã ra mắt USDsui, một stablecoin tích hợp vào hệ sinh thái DeFi của mình để giao dịch, cho vay và phát triển ứng dụng, nâng cao thanh khoản và hỗ trợ nhà phát triển xây dựng các công cụ tài chính hiệu quả.
GateNews16giờ trước
