NFT-кредитная платформа Gondi обнаружила уязвимость, которая привела к краже примерно 78 NFT на сумму около 230 000 долларов США у нескольких пользователей. Уязвимость возникла из-за неправильного обновления смарт-контракта, развернутого 20 февраля 2026 года.
Команда отключила уязвительную функцию Sell & Repay, подтвердив при этом, что все остальные функции платформы остаются безопасными, и активно работает над возмещением ущерба пострадавшим пользователям через прямые выплаты, восстановление активов и компенсации за счет сборов протокола.
Детали уязвимости и техническая причина
Обновление уязвимого контракта
Уязвимость связана с новой версией контракта Sell & Repay платформы Gondi — компонента протокола кредитования NFT, который позволяет заемщикам продавать заложенные NFT и автоматически погашать кредиты в одной транзакции. Обновленный контракт был развернут 20 февраля 2026 года.
Безопасная компания Blockaid выявила, что в функции “Purchase Bundler” этого контракта была допущена ошибка логики, которая не проверяла должным образом, является ли вызывающий контракт лицом, являющимся законным владельцем или заемщиком NFT, участвующего в транзакции. Эта ошибка позволила злоумышленнику инициировать несанкционированные переводы и выводить активы у нескольких пользователей.
Масштаб атаки
Согласно данным Etherscan, было украдено около 78 NFT в примерно 40 транзакциях, которые были отправлены на кошелек, получивший метку “GONDI Exploiter”. Среди украденных активов — 44 токена Art Blocks, 10 Doodles, два NFT из коллекции Beeple “Spring Collection” и другие ценные предметы из известных коллекций.
Коллекционер NFT tinoch оценил, что один пострадавший пользователь потерял примерно 55 ETH, что на момент наблюдения составляло около 108 000 долларов. Общее число жертв не разглашается, однако было затронуто несколько кошельков.
Реакция платформы и меры по устранению уязвимости
Немедленные действия
После обнаружения проблемы Gondi быстро отключила уязвительную функцию Sell & Repay. Команда заявила, что эта функция остается отключенной до завершения исправлений и проверки. Все остальные функции платформы, включая покупку, продажу, листинг, ставки, торговлю, рефинансирование кредитов и запуск новых кредитов, были подтверждены как полностью работоспособные и безопасные для возобновления.
Протокол подчеркнул, что NFT, связанные с активными кредитами, никогда не находились под угрозой во время инцидента. Уязвимость была ограничена конкретной функцией контракта, отвечающей за объединенные продажи и погашения, и не затронула другие части маркетплейса.
Проверка безопасности
После атаки компания Blockaid и независимый аудитор провели повторную проверку протокола. Gondi опровергла ранее сделанное предупреждение о необходимости избегать взаимодействия с платформой, подтвердив, что более широкий протокол не пострадал и все операции можно безопасно возобновлять.
Меры по возмещению ущерба пользователям
Прямое возмещение
Gondi начала работу с пострадавшими пользователями для восстановления утраченных активов или предоставления компенсации, если восстановление невозможно. Команда связалась с кошельками, взаимодействовавшими с уязвимым контрактом, чтобы инициировать процессы возмещения.
В нескольких случаях проект отслеживал NFT, приобретенные покупателями, которые, по всей видимости, не знали, что токены были получены в результате эксплуатации уязвимости. Эти предметы возвращаются их первоначальным владельцам, где это возможно.
Механизмы компенсации
Протокол начал использовать собранные сборы платформы для покупки “аналогичных предметов” из похожих коллекций, чтобы компенсировать потери пострадавших пользователей, когда восстановить идентичные NFT невозможно. Команда заявила: “Хотя это не тот же самый предмет, мы считаем, что это справедливое и значимое решение, и ведем прямые переговоры с каждым владельцем.”
Для случаев с уникальными NFT, которые трудно заменить, Gondi ведет активные обсуждения с пострадавшими коллекционерами для поиска альтернативных решений.
Контекст платформы и профиль рисков
Модель кредитования Gondi
Gondi работает как децентрализованный, неконтролируемый рынок ликвидности NFT и протокол кредитования. Пользователи могут размещать NFT в качестве залога для получения кредитов, предоставлять активы в долг для получения процентов и рефинансировать свои позиции. Платформа позволяет заемщикам получать ликвидность без необходимости полностью продавать свои цифровые активы.
Особенно сложной является функция Sell & Repay, которая объединяет несколько действий в одну транзакцию — продажу залога и погашение кредита одновременно. При сбое проверки владения злоумышленники могли использовать автоматизацию для эксплуатации этой функции.
Риски смарт-контрактов
Такие системы, как Gondi, требуют сложных смарт-контрактов, координирующих управление залогами, выдачу кредитов, погашения и передачу активов. Даже небольшие ошибки в логике этих контрактов могут создавать уязвимости для злоумышленников, что подчеркивает повышенный риск платформ кредитования NFT, где обновления контрактов могут изменять проверки владения активами или логику авторизации транзакций.
FAQ: Уязвимость Gondi
Q: Что вызвало уязвимость Gondi?
A: Уязвимость возникла из-за неправильной логики, введенной в обновлении функции Sell & Repay 20 февраля 2026 года. Функция “Purchase Bundler” неправильно проверяла, является ли вызывающий владельцем или заемщиком NFT, что позволило злоумышленнику инициировать несанкционированные переводы примерно 78 NFT на сумму около 230 000 долларов.
Q: Сколько было потеряно и кто пострадал?
A: Было украдено около 78 NFT в 40 транзакциях, среди них активы из коллекций Art Blocks, Doodles и Beeple. Один пользователь потерял примерно 55 ETH, что на тот момент составляло около 108 000 долларов. Общее число пострадавших не раскрывается, но затронуто несколько кошельков.
Q: Что делает Gondi для компенсации пострадавших?
A: Gondi осуществляет прямое возмещение пострадавших пользователей, возвращает украденные NFT, отслеженные у покупателей, не подозревавших о происхождении токенов, и использует сборы протокола для покупки аналогичных предметов из похожих коллекций, если восстановить идентичные NFT невозможно. Ведутся переговоры по уникальным, одни в своем роде, предметам.
Q: Можно ли сейчас использовать платформу Gondi безопасно?
A: Уязвимая функция Sell & Repay остается отключенной до устранения и проверки исправлений, однако все остальные функции платформы, включая покупку, продажу, листинг, ставки, торговлю и кредитные операции, подтверждены как безопасные для возобновления. После атаки протокол проверяли компании Blockaid и независимый аудит.
