Le protocole de prêt NFT Gondi a contenu une faille qui a drainé environ 78 NFT d’une valeur d’environ 230 000 $ auprès de plusieurs utilisateurs, suite à une mise à jour défectueuse du contrat intelligent déployée le 20 février 2026.
L’équipe a désactivé la fonctionnalité vulnérable de Vente & Remboursement tout en confirmant que toutes les autres fonctions de la plateforme restent sécurisées, et travaille activement à rembourser les utilisateurs affectés par restitution directe, récupération d’actifs et compensation via les frais du protocole.
Détails de l’exploitation et cause technique
Mise à jour du contrat vulnérable
L’exploitation était liée à une nouvelle version déployée du contrat Vente & Remboursement de Gondi, un composant du protocole de prêt NFT qui permet aux emprunteurs de vendre des NFT en escrow et de rembourser automatiquement les prêts dans une transaction groupée. Le contrat mis à jour a été déployé le 20 février 2026.
La société de sécurité Blockaid a identifié qu’une logique défectueuse avait été introduite dans la fonction “Purchase Bundler” du contrat, qui ne vérifiait pas correctement si l’appelant était le propriétaire légitime ou l’emprunteur d’un NFT impliqué dans la transaction. Cette omission a permis à un attaquant de déclencher des transferts non autorisés et d’extraire des actifs auprès de plusieurs utilisateurs.
Portée de l’attaque
Selon les données d’Etherscan, environ 78 NFT ont été drainés lors d’environ 40 transactions et acheminés vers un portefeuille désormais nommé “GONDI Exploiter”. Les actifs volés comprenaient 44 jetons Art Blocks, 10 Doodles, deux NFT de la “Spring Collection” de Beeple, et d’autres pièces de collections renommées.
Le collectionneur NFT tinoch a estimé qu’un seul utilisateur affecté a perdu environ 55 ETH, d’une valeur d’environ 108 000 $ au moment de l’observation. Le nombre total de victimes n’a pas été divulgué publiquement, bien que plusieurs portefeuilles aient été impactés.
Réponse et remédiation de la plateforme
Actions immédiates
Gondi a rapidement désactivé la fonctionnalité Vente & Remboursement concernée après avoir identifié le problème. L’équipe a déclaré que cette fonctionnalité reste hors ligne pendant le déploiement et la vérification d’une correction. Toutes les autres fonctionnalités de la plateforme, y compris l’achat, la vente, la mise en ligne, l’enchère, le trading, le refinancement de prêts et le lancement de nouveaux prêts, ont été confirmées comme entièrement opérationnelles et sécurisées pour la reprise.
Le protocole a souligné que les NFT liés à des prêts actifs n’ont jamais été en danger durant l’incident. L’exploitation était limitée à la fonction spécifique du contrat responsable des ventes groupées et des remboursements, laissant le reste du marché intact.
Revue de sécurité
Depuis l’attaque, la société de sécurité Blockaid et un auditeur indépendant ont examiné le protocole. Gondi a annulé une alerte précédente qui mettait en garde les utilisateurs contre l’interaction avec la plateforme, confirmant que le protocole plus large n’a pas été affecté et que toutes les activités peuvent reprendre en toute sécurité.
Efforts de restitution aux utilisateurs
Remboursement direct
Gondi a commencé à travailler directement avec les utilisateurs impactés pour restaurer les actifs perdus ou fournir une compensation lorsque la récupération n’est pas possible. L’équipe a contacté les portefeuilles ayant interagi avec le contrat vulnérable pour initier les processus de restitution.
Dans plusieurs cas, le projet a retrouvé des NFT achetés par des acheteurs apparemment inconscients que les tokens provenaient de l’exploitation. Ces objets sont en cours de retour à leurs propriétaires d’origine lorsque cela est possible.
Mécanismes de compensation
Le protocole a commencé à utiliser les frais collectés pour acheter des “objets comparables” dans des collections similaires afin de compenser les pertes des utilisateurs affectés lorsque les NFT identiques ne peuvent pas être récupérés. L’équipe a déclaré : “Bien que ce ne soit pas la pièce exacte, nous pensons que c’est une résolution équitable et significative, et nous coordonnons directement avec chaque propriétaire.”
Pour les cas impliquant des NFT uniques, en édition limitée, difficiles à remplacer, Gondi indique qu’il est en discussion active avec les collectionneurs affectés pour déterminer des solutions alternatives.
Contexte de la plateforme et profil de risque
Modèle de prêt de Gondi
Gondi fonctionne comme une place de marché décentralisée de liquidité NFT et un protocole de prêt non custodial. Les utilisateurs peuvent déposer des NFT en garantie pour des prêts, prêter des actifs pour générer des intérêts, et refinancer leurs positions NFT. La plateforme permet aux emprunteurs d’accéder à la liquidité sans vendre directement leurs actifs numériques.
La fonctionnalité Vente & Remboursement introduit une complexité supplémentaire car elle regroupe plusieurs actions en une seule transaction — vendre la garantie et rembourser le prêt simultanément. Lorsqu’étape de validation de propriété échoue, les attaquants peuvent exploiter cette automatisation.
Risques liés aux contrats intelligents
Des systèmes comme Gondi nécessitent des contrats intelligents complexes coordonnant la gestion des garanties, l’émission de prêts, les remboursements et les transferts d’actifs. Même de petites erreurs logiques dans ces contrats peuvent créer des vulnérabilités exploitables, soulignant le profil de risque élevé des plateformes de prêt NFT où les mises à jour de contrat modifient la vérification de propriété ou la logique d’autorisation des transactions.
FAQ : Exploit Gondi
Q : Qu’est-ce qui a causé l’exploitation de Gondi ?
R : L’exploitation provient d’une logique défectueuse introduite lors d’une mise à jour du 20 février du contrat Vente & Remboursement. La fonction “Purchase Bundler” ne vérifiait pas correctement si l’appelant était le propriétaire légitime ou l’emprunteur d’un NFT, permettant à un attaquant de déclencher des transferts non autorisés d’environ 78 NFT d’une valeur de 230 000 $.
Q : Combien a été perdu et qui a été affecté ?
R : Environ 78 NFT ont été drainés lors de 40 transactions, incluant des actifs de collections Art Blocks, Doodles et Beeple. Un utilisateur affecté a perdu environ 55 ETH, d’une valeur de 108 000 $. Le nombre total de victimes n’a pas été divulgué, mais plusieurs portefeuilles ont été impactés.
Q : Que fait Gondi pour indemniser les victimes ?
R : Gondi rembourse directement les utilisateurs affectés, retourne les NFT volés retrouvés chez des acheteurs inconscients, et utilise les frais du protocole pour acheter des objets comparables dans des collections similaires lorsque les NFT identiques ne peuvent pas être récupérés. Des discussions sont en cours pour les pièces uniques en édition limitée.
Q : La plateforme Gondi est-elle sûre à utiliser maintenant ?
R : La fonctionnalité vulnérable Vente & Remboursement reste désactivée en attendant une correction, mais toutes les autres fonctions de la plateforme, y compris l’achat, la vente, la mise en ligne, l’enchère, le trading et les activités de prêt, ont été confirmées comme sûres pour la reprise. Les sociétés de sécurité Blockaid et un auditeur indépendant ont examiné le protocole depuis l’attaque.
