Platform NFT Gondi Konfirmasi Eksploitasi Kontrak $230.000, Berencana Mengembalikan Kerugian Pengguna

Protokol pinjaman NFT Gondi telah mengatasi sebuah kerentanan yang menguras sekitar 78 NFT dengan nilai sekitar $230.000 dari beberapa pengguna, yang berasal dari upgrade kontrak pintar yang cacat yang diterapkan pada 20 Februari 2026.

Tim telah menonaktifkan fitur Sell & Repay yang rentan sambil memastikan bahwa semua fungsi platform lainnya tetap aman, dan sedang aktif bekerja untuk mengembalikan dana kepada pengguna yang terdampak melalui restitusi langsung, pemulihan aset, dan kompensasi menggunakan biaya protokol.

Rincian Eksploitasi dan Penyebab Teknis

Upgrade Kontrak Rentan

Eksploitasi terkait dengan versi baru kontrak Sell & Repay Gondi, sebuah komponen dari protokol pinjaman NFT yang memungkinkan peminjam menjual NFT yang disimpan dalam escrow dan secara otomatis melunasi pinjaman dalam satu transaksi. Kontrak yang diperbarui ini diterapkan pada 20 Februari 2026.

Perusahaan keamanan Blockaid mengidentifikasi bahwa logika yang salah diperkenalkan dalam fungsi “Purchase Bundler” di kontrak tersebut, yang gagal memverifikasi dengan benar apakah pemanggil kontrak adalah pemilik atau peminjam yang sah dari NFT yang terlibat dalam transaksi. Kelalaian ini memungkinkan penyerang untuk memicu transfer tidak sah dan mengeluarkan aset dari beberapa pengguna.

Lingkup Serangan

Menurut data Etherscan, sekitar 78 NFT telah dikuras melalui sekitar 40 transaksi dan dialihkan ke sebuah dompet yang sekarang diberi label “GONDI Exploiter.” Aset yang dicuri termasuk 44 token Art Blocks, 10 Doodles, dua NFT dari koleksi “Spring Collection” karya Beeple, dan karya berharga lainnya dari koleksi terkenal.

Pengumpul NFT tinoch memperkirakan bahwa satu pengguna yang terdampak kehilangan sekitar 55 ETH, yang bernilai sekitar $108.000 saat pengamatan dilakukan. Jumlah total korban belum diumumkan secara publik, meskipun beberapa dompet juga terkena dampak.

Tanggapan dan Perbaikan Platform

Tindakan Segera

Gondi dengan cepat menonaktifkan fitur Sell & Repay yang terdampak setelah mengidentifikasi masalah tersebut. Tim menyatakan bahwa fitur tersebut tetap offline sementara perbaikan diterapkan dan diverifikasi. Semua fungsi platform lainnya, termasuk membeli, menjual, mendaftar, menawar, berdagang, refinancing pinjaman, dan memulai pinjaman baru, dikonfirmasi berfungsi penuh dan aman untuk dilanjutkan.

Protokol menegaskan bahwa NFT yang terkait dengan pinjaman aktif tidak pernah dalam risiko selama insiden berlangsung. Eksploitasi terbatas pada fungsi kontrak tertentu yang bertanggung jawab atas penjualan dan pelunasan bundel, sehingga bagian lain dari pasar tetap utuh.

Tinjauan Keamanan

Sejak serangan, perusahaan keamanan Blockaid dan auditor independen telah meninjau protokol tersebut. Gondi membatalkan peringatan sebelumnya yang memperingatkan pengguna untuk tidak berinteraksi dengan platform, dan mengonfirmasi bahwa protokol secara umum tidak terpengaruh dan semua aktivitas dapat dilanjutkan dengan aman.

Upaya Restitusi Pengguna

Penggantian Langsung

Gondi mulai bekerja langsung dengan pengguna yang terdampak untuk mengembalikan aset yang hilang atau memberikan kompensasi jika pemulihan tidak memungkinkan. Tim telah menghubungi dompet yang berinteraksi dengan kontrak yang rentan untuk memulai proses restitusi.

Dalam beberapa kasus, proyek telah melacak NFT yang dibeli oleh pembeli yang tampaknya tidak menyadari bahwa token tersebut berasal dari eksploitasi. Barang-barang tersebut dikembalikan ke pemilik aslinya jika memungkinkan.

Mekanisme Kompensasi

Protokol mulai menggunakan biaya platform yang terkumpul untuk membeli “barang sepadan” dari koleksi serupa guna mengimbangi kerugian pengguna yang terdampak ketika NFT yang sama tidak dapat dipulihkan. Tim menyatakan: “Meskipun bukan karya yang sama persis, kami percaya ini adalah solusi yang adil dan bermakna dan sedang berkoordinasi langsung dengan setiap pemilik.”

Untuk kasus NFT unik satu-satunya yang tidak mudah digantikan, Gondi menyatakan sedang berdiskusi aktif dengan kolektor yang terdampak untuk menentukan solusi alternatif.

Konteks Platform dan Profil Risiko

Model Pinjaman Gondi

Gondi beroperasi sebagai pasar likuiditas NFT terdesentralisasi dan protokol pinjaman non-kustodian. Pengguna dapat memposting NFT sebagai jaminan untuk pinjaman, meminjam aset untuk mendapatkan bunga, dan melakukan refinancing posisi NFT mereka. Platform ini memungkinkan peminjam mengakses likuiditas tanpa harus menjual aset digital mereka secara langsung.

Fitur Sell & Repay secara khusus menambahkan kompleksitas karena menggabungkan beberapa tindakan dalam satu transaksi—menjual jaminan dan melunasi pinjaman secara bersamaan. Ketika langkah verifikasi kepemilikan gagal, penyerang dapat mengeksploitasi otomatisasi tersebut.

Risiko Kontrak Pintar

Sistem seperti Gondi memerlukan kontrak pintar yang kompleks yang mengatur manajemen jaminan, penerbitan pinjaman, pelunasan, dan transfer aset. Bahkan kesalahan logika kecil dalam kontrak ini dapat membuka celah bagi penyerang, menyoroti profil risiko tinggi dari platform pinjaman NFT di mana upgrade kontrak mengubah pemeriksaan kepemilikan aset atau logika otorisasi transaksi.

FAQ: Eksploitasi Gondi

Q: Apa penyebab eksploitasi Gondi?

A: Eksploitasi berasal dari logika yang salah yang diperkenalkan dalam upgrade kontrak Sell & Repay pada 20 Februari. Fungsi “Purchase Bundler” gagal memverifikasi dengan benar apakah pemanggil adalah pemilik atau peminjam yang sah dari NFT, memungkinkan penyerang untuk memicu transfer tidak sah sekitar 78 NFT bernilai $230.000.

Q: Berapa banyak yang hilang dan siapa yang terdampak?

A: Sekitar 78 NFT telah dikuras melalui 40 transaksi, termasuk aset dari koleksi Art Blocks, Doodles, dan Beeple. Satu pengguna yang terdampak kehilangan sekitar 55 ETH senilai $108.000. Jumlah total korban belum diungkapkan, tetapi beberapa dompet juga terkena dampak.

Q: Apa yang dilakukan Gondi untuk mengompensasi korban?

A: Gondi secara langsung mengganti kerugian pengguna yang terdampak, mengembalikan NFT yang dicuri dari pembeli yang tidak menyadari asal-usul token tersebut, dan menggunakan biaya protokol untuk membeli barang sepadan dari koleksi serupa jika NFT yang sama tidak dapat dipulihkan. Diskusi sedang berlangsung untuk NFT unik satu-satunya.

Q: Apakah platform Gondi aman digunakan sekarang?

A: Fitur Sell & Repay yang rentan tetap dinonaktifkan menunggu perbaikan, tetapi semua fungsi platform lainnya termasuk membeli, menjual, mendaftar, menawar, berdagang, dan aktivitas pinjaman dikonfirmasi aman untuk dilanjutkan. Perusahaan keamanan Blockaid dan auditor independen telah meninjau protokol sejak serangan.