Gondi NFTプラットフォーム、23万ドルの契約脆弱性を確認し、ユーザーの補償に向けて動き出す

NFT貸付プロトコルのGondiは、2026年2月20日に展開された不完全なスマートコントラクトのアップグレードに起因する脆弱性を含む攻撃を封じました。この攻撃により、約78NFT（推定価値23万ドル）が複数のユーザーから流出しました。

チームは脆弱な「売却＆返済」機能を一時停止し、他のプラットフォーム機能は安全であることを確認しています。現在、直接的な返金、資産回収、プロトコル手数料を用いた補償を通じて被害者への補償に取り組んでいます。

攻撃の詳細と技術的原因

脆弱なコントラクトのアップグレード

この攻撃は、プラットフォームのNFT貸付プロトコルの一部である「売却＆返済」コントラクトの新バージョンの展開に関連しています。このコントラクトは、借り手がエスクローされたNFTを売却し、ローンを自動的に返済するためのものです。更新されたコントラクトは2026年2月20日にデプロイされました。

セキュリティ企業Blockaidは、コントラクトの「購入バンドラー」機能に誤ったロジックが導入されていることを特定しました。このロジックは、コントラクト呼び出し者が取引に関与するNFTの正当な所有者または借り手であることを適切に検証しませんでした。この見落としにより、攻撃者は不正な転送を引き起こし、複数のユーザーから資産を抽出できました。

攻撃の範囲

Etherscanのデータによると、約78NFTが約40回の取引を通じて流出し、「GONDI Exploiter」とラベル付けされたウォレットに送られました。盗まれた資産には、44のArt Blocksトークン、10のDoodles、Beepleの「Spring Collection」からの2NFT、その他著名なコレクションの価値のある作品が含まれます。

NFTコレクターのtinochは、被害者の一人が約55ETH（当時約10万8千ドル）を失ったと推定しています。被害者の総数は公表されていませんが、複数のウォレットが影響を受けました。

プラットフォームの対応と修復

直ちに取った措置

Gondiは問題を特定次第、迅速に影響を受けた「売却＆返済」機能を無効化しました。チームは、修正が展開・検証されるまでこの機能はオフラインのままであると述べています。その他のプラットフォーム機能（購入、販売、リスト作成、入札、取引、ローンのリファイナンス、新規ローンの開始）は完全に稼働し、安全に再開できることを確認しています。

プロトコルは、アクティブなローンに紐づくNFTは攻撃のリスクにさらされていなかったと強調しています。攻撃は、バンドルされた販売と返済を担当する特定のコントラクト機能に限定されており、市場の他の部分には影響しませんでした。

セキュリティレビュー

攻撃後、セキュリティ企業Blockaidと独立した監査人がプロトコルのレビューを行いました。Gondiは、以前警告していたユーザーへの注意喚起を撤回し、より広範なプロトコルには影響がなく、すべての活動は安全に再開できると確認しました。

ユーザーへの返金と補償

直接返金

Gondiは、被害を受けたユーザーと直接連絡を取り、失われた資産の回復や回収不能な場合の補償を開始しています。チームは、脆弱なコントラクトとやり取りしたウォレットに連絡を取り、返金手続きを進めています。

いくつかのケースでは、攻撃によって購入されたNFTが、購入者がトークンの出所を知らなかったことが判明し、追跡されて返還されているものもあります。

補償メカニズム

プロトコルは、プラットフォームの手数料を用いて、類似コレクションから「同等のアイテム」を購入し、同じNFTが回収できない場合の損失を補填しています。チームは、「完全に同じ作品ではないが、公平で意義のある解決策だと考えており、各所有者と直接調整している」と述べています。

一方、ユニークな1点ものNFTについては、影響を受けたコレクターと協議し、代替案を検討しています。

プラットフォームの背景とリスクプロフィール

Gondiの貸付モデル

Gondiは、分散型の非カストディアルNFT流動性マーケットプレイスおよび貸付プロトコルとして運営されています。ユーザーはNFTを担保にローンを組んだり、資産を貸し出して利息を得たり、NFTのポジションをリファイナンスしたりできます。プラットフォームは、デジタル資産を売却せずに流動性にアクセスできる仕組みを提供しています。

特に、「売却＆返済」機能は複数の操作を一つの取引にまとめるため、複雑さを増しています。所有権の検証に失敗した場合、攻撃者はこの自動化を悪用できました。

スマートコントラクトのリスク

Gondiのようなシステムは、担保管理、ローン発行、返済、資産移転を調整する複雑なスマートコントラクトを必要とします。これらのコントラクトに小さなロジックエラーがあるだけで、攻撃の入り口となる可能性があります。特に、コントラクトのアップグレードによって資産所有権の検証や取引の認可ロジックが変更されるNFT貸付プラットフォームは、リスクが高まります。

FAQ：Gondiの脆弱性について

Q：Gondiの脆弱性の原因は何ですか？
A：2026年2月のアップグレードで導入された「売却＆返済」コントラクトのロジックの誤りに起因します。特に、「購入バンドラー」機能が、呼び出し者がNFTの正当な所有者または借り手であることを適切に検証しなかったため、攻撃者は約78NFT（価値23万ドル）を不正に転送できました。

Q：どれくらいの損失があり、誰が影響を受けましたか？
A：約78NFTが40回の取引を通じて流出し、Art Blocks、Doodles、Beepleコレクションの資産が含まれます。被害者の一人は約55ETH（約10万8千ドル）を失いました。総被害者数は公表されていませんが、複数のウォレットが影響を受けました。

Q：Gondiは被害者にどのように補償していますか？
A：直接返金や、購入者が気付かずに買ったNFTの追跡と返還、そして同等のコレクションからのアイテム購入を通じて補償しています。ユニークな1点ものについては、代替案を検討中です。

Q：Gondiのプラットフォームは現在安全ですか？
A：脆弱な「売却＆返済」機能は修正まで無効のままですが、その他の機能（購入、販売、リスト作成、入札、取引、ローンのリファイナンス、ローン開始）は安全に再開できると確認されています。セキュリティ企業Blockaidと独立監査人が攻撃後にプロトコルをレビューしています。