Hợp đồng cho vay NFT Gondi ngày 9 tháng 3 đã thông báo rằng họ đang tích cực thực hiện các biện pháp bồi thường cho các người dùng bị thiệt hại do lỗ hổng hợp đồng thông minh. Theo ước tính của công ty an ninh Blockaid, kẻ tấn công đã lợi dụng lỗ hổng để trộm khoảng 78 NFT từ nhiều nạn nhân, thiệt hại ước tính khoảng 230.000 USD. Gondi cho biết, ngoài lỗi logic trong hợp đồng mới “Sell & Repay”, tất cả các chức năng khác của nền tảng đã được khôi phục.
Phân tích cơ chế lỗ hổng: Những điểm thiếu sót chính trong hợp đồng Sell & Repay
“Sell & Repay” là một trong những chức năng cốt lõi của giao thức cho vay NFT Gondi, cho phép người vay bán NFT đã được cầm cố trong cùng một giao dịch gói và tự động thanh toán khoản vay. Phiên bản hợp đồng mới được triển khai vào ngày 20 tháng 2 đã mắc lỗi logic trong chức năng “Purchase Bundler”, không xác minh đúng đắn xem người gọi hợp đồng có phải là chủ sở hữu hợp pháp hoặc người được ủy quyền của NFT hay không, khiến kẻ tấn công có thể bỏ qua kiểm tra quyền sở hữu và thực hiện thao tác chuyển NFT mà không cần sở hữu NFT đó.
Nhà sưu tập NFT tinoch ước tính, thiệt hại của một nạn nhân tiềm năng khoảng 55 ETH, theo giá thị trường tại thời điểm đó khoảng 108.000 USD. Gondi nhấn mạnh rằng phạm vi ảnh hưởng của lỗ hổng này là hạn chế, các NFT đang trong trạng thái vay mượn hoạt động vẫn chưa bị ảnh hưởng ở bất kỳ thời điểm nào.
Danh sách NFT bị đánh cắp: Các bộ sưu tập nổi tiếng bị ảnh hưởng
Theo dữ liệu của Etherscan, 78 NFT bị chuyển đi bao gồm nhiều bộ sưu tập nổi tiếng:
- Token Art Blocks: 44 chiếc, chiếm tỷ lệ lớn nhất trong số NFT bị đánh cắp
- Doodles: 10 chiếc
- Beeple “Spring Collection”: 2 chiếc
- Các bộ sưu tập khác: nhiều NFT có giá trị cao và các tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế
Sau sự kiện, Gondi đã nhanh chóng tạm dừng chức năng “Sell & Repay” và mời Blockaid cùng các tổ chức kiểm toán độc lập tiến hành kiểm tra toàn diện về độ an toàn của hợp đồng. Gondi tuyên bố rằng tất cả các hoạt động khác của nền tảng — bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới, niêm yết và giao dịch NFT — đều có thể được khôi phục một cách an toàn.
Hành động bồi thường của Gondi: Chiến lược đền bù toàn diện
Việc bồi thường được tiến hành đồng bộ trên ba cấp độ:
- Liên hệ với người dùng bị ảnh hưởng: Gondi đã chủ động liên hệ với tất cả các người dùng đã từng tương tác với hợp đồng có lỗ hổng để xác nhận phạm vi thiệt hại và mở ra kênh giao tiếp trực tiếp.
- Thu hồi và hoàn trả NFT bị đánh cắp: Gondi đã theo dõi và phát hiện một số NFT bị đánh cắp đã bị người mua không biết chuyển nhượng, thành công thuyết phục các người mua này trả lại NFT cho chủ sở hữu ban đầu.
- Mua lại các mặt hàng tương tự bằng phí hợp đồng: Đối với các NFT bị đánh cắp không thể thu hồi trực tiếp, Gondi bắt đầu sử dụng phí của hợp đồng để mua các “tương tự” trong các series 1/1-of-X nhằm đền bù cho người dùng bị ảnh hưởng. Gondi cho biết: “Dù không phải là cùng một vật phẩm hoàn toàn, nhưng chúng tôi tin rằng đây là một giải pháp công bằng và có ý nghĩa, và chúng tôi đang trực tiếp phối hợp với từng chủ sở hữu.” Đối với những người bị mất NFT 1/1 độc nhất vô nhị, Gondi cho biết đang tiến hành “thảo luận tích cực” với các bên liên quan để tìm kiếm các phương án đền bù cá nhân hóa.
Các câu hỏi thường gặp
Gondi là nền tảng gì, lỗ hổng này xảy ra như thế nào?
Gondi là một thị trường thanh khoản NFT phi tập trung, không quản lý, cho phép người dùng cầm cố NFT làm tài sản thế chấp vay vốn, cho vay hoặc tái cấp vốn. Lỗ hổng này xuất phát từ lỗi logic trong phiên bản hợp đồng “Sell & Repay” mới được triển khai vào ngày 20 tháng 2, chức năng mua gói không xác minh đúng danh tính người gọi, khiến kẻ tấn công có thể thực hiện chuyển NFT mà không cần sở hữu.
Những NFT nào đã bị đánh cắp trong lỗ hổng của Gondi?
Có tổng cộng 78 NFT đã bị chuyển đến địa chỉ của kẻ tấn công qua khoảng 40 giao dịch, bao gồm 44 token Art Blocks, 10 Doodles, 2 NFT trong bộ sưu tập “Spring Collection” của Beeple và nhiều thương hiệu NFT nổi tiếng khác, trong đó có một số tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế, tổng thiệt hại khoảng 230.000 USD.
Hiện tại nền tảng Gondi có an toàn để sử dụng trở lại không?
Gondi cho biết, sau khi Blockaid và các tổ chức kiểm toán độc lập hoàn tất kiểm tra hợp đồng, ngoài việc tạm thời ngưng chức năng “Sell & Repay”, tất cả các hoạt động khác của nền tảng đều có thể được khôi phục một cách an toàn, bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới và mua bán, giao dịch NFT.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
