O protocolo de empréstimo NFT Gondi conteve uma exploração que drenou aproximadamente 78 NFTs avaliados em cerca de $230.000 de múltiplos utilizadores, resultante de uma atualização defeituosa do contrato inteligente implementada em 20 de fevereiro de 2026.
A equipa desativou a funcionalidade vulnerável de Venda & Reembolso enquanto confirma que todas as outras funções da plataforma permanecem seguras, e está a trabalhar ativamente para reembolsar os utilizadores afetados através de restituição direta, recuperação de ativos e compensação usando as taxas do protocolo.
Detalhes da Exploração e Causa Técnica
Atualização do Contrato Vulnerável
A exploração esteve relacionada com uma nova versão do contrato Venda & Reembolso do Gondi, um componente do protocolo de empréstimo NFT que permite aos mutuários vender NFTs em custódia e reembolsar automaticamente os empréstimos numa transação agrupada. O contrato atualizado foi implementado em 20 de fevereiro de 2026.
A empresa de segurança Blockaid identificou que uma lógica incorreta foi introduzida na função “Purchase Bundler” do contrato, que falhou ao verificar corretamente se quem chamava o contrato era o proprietário legítimo ou mutuário de um NFT envolvido na transação. Esta omissão permitiu a um atacante desencadear transferências não autorizadas e extrair ativos de múltiplos utilizadores.
Alcance do Ataque
De acordo com dados do Etherscan, aproximadamente 78 NFTs foram drenados em cerca de 40 transações e encaminhados para uma carteira agora rotulada como “GONDI Exploiter”. Os ativos roubados incluíam 44 tokens Art Blocks, 10 Doodles, dois NFTs da “Spring Collection” de Beeple, e outras peças valiosas de coleções proeminentes.
O colecionador de NFTs tinoch estimou que um utilizador afetado perdeu cerca de 55 ETH, avaliado em aproximadamente $108.000 na altura da observação. O número total de vítimas não foi divulgado publicamente, embora várias carteiras tenham sido impactadas.
Resposta e Remediação da Plataforma
Ações Imediatas
O Gondi agiu rapidamente para desativar a funcionalidade de Venda & Reembolso afetada após identificar o problema. A equipa afirmou que a funcionalidade permanece offline enquanto uma correção é implementada e verificada. Todas as outras funcionalidades da plataforma, incluindo compra, venda, listagem, licitação, troca, refinanciamento de empréstimos e início de novos empréstimos, foram confirmadas como totalmente operacionais e seguras para retomar.
O protocolo enfatizou que NFTs ligados a empréstimos ativos nunca estiveram em risco durante o incidente. A exploração limitou-se à função específica do contrato responsável por vendas agrupadas e reembolsos, deixando outras partes do mercado intocadas.
Revisão de Segurança
Desde o ataque, a empresa de segurança Blockaid e um auditor independente revisaram o protocolo. O Gondi reviu um aviso anterior que alertava os utilizadores contra interagir com a plataforma, confirmando que o protocolo mais amplo não foi afetado e que toda a atividade é segura para retomar.
Esforços de Restituição aos Utilizadores
Reembolso Direto
O Gondi começou a trabalhar diretamente com os utilizadores impactados para restaurar ativos perdidos ou fornecer compensação onde a recuperação não for possível. A equipa contactou carteiras que interagiram com o contrato vulnerável para iniciar processos de restituição.
Em vários casos, o projeto rastreou NFTs que foram comprados por compradores que aparentemente não tinham conhecimento de que os tokens tinham origem na exploração. Esses itens estão a ser devolvidos aos seus proprietários originais sempre que possível.
Mecanismos de Compensação
O protocolo começou a usar as taxas coletadas na plataforma para comprar “itens comparáveis” de coleções semelhantes, a fim de compensar perdas de utilizadores afetados quando NFTs idênticos não podem ser recuperados. A equipa afirmou: “Embora não seja a mesma peça exata, acreditamos que esta é uma resolução justa e significativa, e estamos a coordenar diretamente com cada proprietário.”
Para casos envolvendo NFTs únicos, de edição limitada, que não podem ser facilmente substituídos, o Gondi indicou que está em discussões ativas com os colecionadores afetados para determinar soluções alternativas.
Contexto da Plataforma e Perfil de Risco
Modelo de Empréstimo do Gondi
O Gondi funciona como um mercado descentralizado de liquidez NFT e protocolo de empréstimo não custodial. Os utilizadores podem colocar NFTs como garantia para empréstimos, emprestar ativos para ganhar juros, e refinanciar posições de NFTs. A plataforma permite aos mutuários aceder a liquidez sem vender os seus ativos digitais.
A funcionalidade de Venda & Reembolso, em particular, introduz complexidade adicional porque agrupa múltiplas ações numa única transação — vender a garantia e reembolsar o empréstimo simultaneamente. Quando a validação de propriedade falhou, os atacantes conseguiram explorar essa automação.
Riscos de Contratos Inteligentes
Sistemas como o Gondi requerem contratos inteligentes complexos que coordenam a gestão de garantias, emissão de empréstimos, reembolsos e transferências de ativos. Pequenos erros de lógica nestes contratos podem criar brechas para atacantes, destacando o perfil de risco elevado das plataformas de empréstimo NFT, onde atualizações de contrato modificam verificações de propriedade de ativos ou lógica de autorização de transações.
FAQ: Exploração do Gondi
Q: O que causou a exploração do Gondi?
A: A exploração resultou de uma lógica incorreta introduzida numa atualização de 20 de fevereiro ao contrato de Venda & Reembolso. A função “Purchase Bundler” falhou ao verificar corretamente se quem chamava era o proprietário legítimo ou mutuário de um NFT, permitindo a um atacante desencadear transferências não autorizadas de aproximadamente 78 NFTs avaliados em $230.000.
Q: Quanto foi perdido e quem foi afetado?
A: Aproximadamente 78 NFTs foram drenados em 40 transações, incluindo ativos de coleções Art Blocks, Doodles e Beeple. Um utilizador afetado perdeu cerca de 55 ETH, avaliado em $108.000. O número total de vítimas não foi divulgado, mas várias carteiras foram impactadas.
Q: O que o Gondi está a fazer para compensar as vítimas?
A: O Gondi está a reembolsar diretamente os utilizadores afetados, a devolver NFTs roubados rastreados de compradores que não tinham conhecimento da origem na exploração, e a usar as taxas do protocolo para comprar itens comparáveis de coleções semelhantes quando NFTs idênticos não podem ser recuperados. Estão em discussão soluções para peças únicas de edição limitada.
Q: A plataforma Gondi é segura para usar agora?
A: A funcionalidade vulnerável de Venda & Reembolso permanece desativada até à implementação de uma correção, mas todas as outras funções da plataforma, incluindo compra, venda, listagem, licitação, troca e atividades de empréstimo, foram confirmadas como seguras para retomar. As empresas de segurança Blockaid e um auditor independente revisaram o protocolo desde o ataque.
