Gondi, giao thức cho vay NFT, đã khắc phục được một lỗ hổng khiến khoảng 78 NFT trị giá khoảng 230.000 USD bị rút khỏi nhiều người dùng, bắt nguồn từ việc nâng cấp hợp đồng thông minh có lỗi được triển khai vào ngày 20 tháng 2 năm 2026.
Nhóm đã vô hiệu hóa tính năng Bán & Trả nợ dễ bị tấn công trong khi xác nhận rằng tất cả các chức năng khác của nền tảng vẫn an toàn và đang tích cực làm việc để hoàn trả cho người dùng bị ảnh hưởng thông qua bồi thường trực tiếp, phục hồi tài sản và bồi thường bằng phí của giao thức.
Chi tiết khai thác và nguyên nhân kỹ thuật
Nâng cấp hợp đồng dễ bị tấn công
Lỗ hổng liên quan đến phiên bản mới của hợp đồng Bán & Trả nợ của Gondi, một thành phần của giao thức cho vay NFT cho phép người vay bán NFT ký gửi và tự động trả nợ trong một giao dịch gộp. Hợp đồng cập nhật đã được triển khai vào ngày 20 tháng 2 năm 2026.
Công ty an ninh Blockaid xác định rằng logic sai đã được đưa vào trong chức năng “Purchase Bundler” của hợp đồng, không kiểm tra đúng đắn xem người gọi hợp đồng có phải là chủ sở hữu hợp pháp hoặc người vay NFT liên quan trong giao dịch hay không. Sự sơ suất này cho phép kẻ tấn công kích hoạt các giao dịch chuyển nhượng trái phép và trích xuất tài sản từ nhiều người dùng.
Phạm vi của cuộc tấn công
Theo dữ liệu từ Etherscan, khoảng 78 NFT đã bị rút qua khoảng 40 giao dịch và chuyển đến một ví được gắn nhãn là “GONDI Exploiter.” Các tài sản bị đánh cắp gồm 44 token Art Blocks, 10 Doodles, hai NFT từ bộ sưu tập “Spring Collection” của Beeple, và các tác phẩm có giá trị khác từ các bộ sưu tập nổi bật.
Nhà sưu tập NFT tinoch ước tính rằng một người dùng bị ảnh hưởng đã mất khoảng 55 ETH, trị giá khoảng 108.000 USD tại thời điểm quan sát. Tổng số nạn nhân chưa được công khai, mặc dù nhiều ví đã bị ảnh hưởng.
Phản ứng và khắc phục của nền tảng
Các hành động ngay lập tức
Gondi đã nhanh chóng vô hiệu hóa tính năng Bán & Trả nợ bị ảnh hưởng sau khi phát hiện vấn đề. Nhóm cho biết tính năng này vẫn đang bị tắt trong khi triển khai và xác minh bản sửa lỗi. Tất cả các chức năng khác của nền tảng, bao gồm mua bán, niêm yết, đấu giá, giao dịch, tái cấp vốn và bắt đầu khoản vay mới, đã được xác nhận là hoạt động bình thường và an toàn để tiếp tục.
Giao thức nhấn mạnh rằng NFT liên quan đến các khoản vay đang hoạt động chưa từng gặp rủi ro trong vụ việc này. Lỗ hổng chỉ giới hạn trong chức năng hợp đồng gộp bán và trả nợ, không ảnh hưởng đến các phần khác của thị trường.
Đánh giá an ninh
Kể từ sau cuộc tấn công, công ty an ninh Blockaid và một kiểm toán viên độc lập đã rà soát lại giao thức. Gondi đã rút lại cảnh báo trước đó khuyên người dùng không tương tác với nền tảng, xác nhận rằng toàn bộ giao thức không bị ảnh hưởng và tất cả hoạt động có thể tiếp tục an toàn.
Nỗ lực hoàn trả cho người dùng
Hoàn trả trực tiếp
Gondi đã bắt đầu làm việc trực tiếp với các người dùng bị ảnh hưởng để khôi phục tài sản bị mất hoặc cung cấp bồi thường khi không thể phục hồi. Nhóm đã liên hệ với các ví đã tương tác với hợp đồng dễ bị tấn công để bắt đầu quá trình hoàn trả.
Trong một số trường hợp, dự án đã truy tìm các NFT đã được mua bởi những người mua dường như không biết rằng các token này xuất phát từ vụ khai thác. Những món đồ này đang được trả lại cho chủ sở hữu ban đầu khi có thể.
Cơ chế bồi thường
Giao thức đã bắt đầu sử dụng phí của nền tảng thu được để mua các “món tương tự” từ các bộ sưu tập tương tự nhằm bù đắp thiệt hại cho người dùng bị ảnh hưởng khi không thể phục hồi NFT giống hệt. Nhóm cho biết: “Dù không phải là cùng một tác phẩm chính xác, chúng tôi tin rằng đây là một giải pháp công bằng và ý nghĩa, và đang phối hợp trực tiếp với từng chủ sở hữu.”
Đối với các trường hợp liên quan đến NFT độc nhất vô nhị không thể dễ dàng thay thế, Gondi cho biết đang thảo luận tích cực với các nhà sưu tập bị ảnh hưởng để tìm ra các giải pháp thay thế.
Bối cảnh nền tảng và hồ sơ rủi ro
Mô hình cho vay của Gondi
Gondi hoạt động như một thị trường thanh khoản NFT phi tập trung, không giữ tài sản và cho vay. Người dùng có thể đăng NFT làm tài sản thế chấp để vay, cho vay tài sản để kiếm lãi, và tái cấp vốn các vị trí NFT của họ. Nền tảng cho phép người vay tiếp cận thanh khoản mà không cần bán trực tiếp tài sản kỹ thuật số của họ.
Tính năng Bán & Trả nợ đặc biệt phức tạp vì nó gộp nhiều hành động vào một giao dịch — bán tài sản thế chấp và trả nợ cùng lúc. Khi bước xác minh quyền sở hữu thất bại, kẻ tấn công có thể khai thác tự động này.
Rủi ro hợp đồng thông minh
Các hệ thống như Gondi đòi hỏi các hợp đồng thông minh phức tạp để điều phối quản lý tài sản thế chấp, phát hành khoản vay, trả nợ và chuyển nhượng tài sản. Ngay cả lỗi logic nhỏ trong các hợp đồng này cũng có thể tạo ra lỗ hổng cho kẻ tấn công, làm nổi bật rủi ro cao của các nền tảng cho vay NFT, nơi các nâng cấp hợp đồng có thể thay đổi kiểm tra quyền sở hữu hoặc logic ủy quyền giao dịch.
Câu hỏi thường gặp: Khai thác Gondi
Q: Nguyên nhân gây ra khai thác Gondi là gì?
A: Lỗ hổng bắt nguồn từ logic sai trong bản nâng cấp ngày 20 tháng 2 của hợp đồng Bán & Trả nợ. Chức năng “Purchase Bundler” không kiểm tra đúng đắn xem người gọi có phải là chủ sở hữu hợp pháp hoặc người vay NFT hay không, cho phép kẻ tấn công thực hiện các chuyển nhượng trái phép khoảng 78 NFT trị giá 230.000 USD.
Q: Đã mất bao nhiêu và ai bị ảnh hưởng?
A: Khoảng 78 NFT đã bị rút qua 40 giao dịch, bao gồm các tài sản từ bộ sưu tập Art Blocks, Doodles và Beeple. Một người dùng bị ảnh hưởng đã mất khoảng 55 ETH, trị giá khoảng 108.000 USD. Tổng số nạn nhân chưa được công khai, nhưng nhiều ví đã bị ảnh hưởng.
Q: Gondi đang làm gì để bồi thường cho các nạn nhân?
A: Gondi đang trực tiếp hoàn trả cho người dùng bị ảnh hưởng, trả lại các NFT bị đánh cắp đã truy tìm được từ những người mua không biết nguồn gốc, và sử dụng phí của nền tảng để mua các món tương tự từ các bộ sưu tập khác khi không thể phục hồi NFT chính xác. Đang có các cuộc thảo luận về các tác phẩm độc nhất vô nhị.
Q: Nền tảng Gondi có an toàn để sử dụng hiện nay không?
A: Tính năng Bán & Trả nợ dễ bị tấn công vẫn đang bị vô hiệu hóa chờ sửa lỗi, nhưng tất cả các chức năng khác của nền tảng như mua bán, niêm yết, đấu giá, giao dịch và hoạt động vay đã được xác nhận là an toàn để tiếp tục. Các công ty an ninh Blockaid và kiểm toán viên độc lập đã rà soát lại giao thức kể từ sau vụ tấn công.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
