NFT-кредитна угода Gondi 9 березня оголосила, що активно вживає заходів щодо компенсації користувачам, які зазнали збитків через вразливість у смарт-контракті. За оцінками компанії з безпеки Blockaid, зловмисники використали цю вразливість для крадіжки близько 78 NFT у кількох жертв, що спричинило збитки приблизно на 230 000 доларів США. Gondi заявила, що крім логічної помилки у новій версії контракту «Sell & Repay», всі інші функції платформи вже відновлено.
Аналіз механізму вразливості: ключова логічна помилка у контракті Sell & Repay
«Sell & Repay» є однією з основних функцій NFT-кредитної платформи Gondi, яка дозволяє позичальникам у рамках однієї транзакції продавати NFT, що виступають у ролі застави, та автоматично погашати кредит. Остання версія контракту, розгорнута 20 лютого, містила логічну помилку у функції «Purchase Bundler», яка неправильно перевіряла, чи є виконавець контракту законним власником або уповноваженим позичальником NFT. Це дозволило зловмисникам обійти перевірку власності та ініціювати переказ NFT без їхнього фактичного володіння.
NFT-колекціонер tinoch оцінив, що потенційні збитки одного з постраждалих можуть становити близько 55 ETH, що за тодішнім ринковим курсом приблизно дорівнює 108 000 доларам США. Gondi підкреслила, що масштаб впливу цієї вразливості обмежений і що NFT, які перебувають у активній позичальній фазі, ніколи не були піддані ризику.
Список викрадених NFT: постраждали відомі серії
За даними Etherscan, 78 викрадених NFT були переведені на зловмисницькі адреси у понад 40 транзакціях, серед них:
-
Токени Art Blocks: 44, що становлять найбільшу частку викрадених NFT
-
Doodles: 10
-
Beeple «Spring Collection»: 2
-
Інші: кілька цінних брендів NFT та унікальні 1/1 художні роботи, що важко замінити
Після інциденту Gondi швидко призупинила функцію «Sell & Repay» і запросила компанії Blockaid та незалежних аудиторів провести всебічну безпекову перевірку всього протоколу. Gondi заявила, що всі інші функції платформи — включаючи погашення кредитів, повторні переговори, рефінансування, видачу нових кредитів, виставлення NFT на продаж і торгівлю — можна безпечно відновити.
Дії Gondi щодо компенсації: багаторівнева стратегія відшкодування
Процес компенсації здійснюється у три напрямки одночасно:
-
Зв’язок із постраждалими користувачами: Gondi активно контактує з усіма користувачами, які взаємодіяли з уразливим контрактом, щоб підтвердити обсяг збитків і налагодити прямий канал зв’язку.
-
Відновлення та повернення викрадених NFT: Gondi відслідкувала частину викрадених NFT, які були перепродані недосвідченими покупцями, і переконала їх повернути NFT власникам.
-
Викуп подібних предметів за рахунок комісій протоколу: для NFT, які не можна безпосередньо повернути, Gondi почала використовувати частину комісійних зборів для купівлі «подібних» предметів із серії 1/1-X для компенсації постраждалих. Gondi зазначила: «Хоча це й не ідентичні предмети, ми вважаємо, що це справедливе та значуще рішення, і ми безпосередньо координуємо з кожним власником». Щодо тих, хто втратили унікальні 1/1 NFT, Gondi повідомила, що ведуться «активні переговори» для пошуку індивідуальних компенсацій.
Часті запитання
Що таке Gondi і як сталася ця вразливість?
Gondi — це децентралізований, некастодіальний ринок NFT та кредитний протокол, який дозволяє користувачам використовувати NFT як заставу для позик, отримувати відсотки або рефінансувати. Вразливість виникла через логічну помилку у новій версії контракту «Sell & Repay», розгорнутій 20 лютого, яка неправильно перевіряла легітимність виконавця функції, що дозволило зловмисникам ініціювати переказ NFT без їхнього володіння.
Які NFT були викрадені у цій атаці?
Загалом було переведено 78 NFT у понад 40 транзакціях на зловмисницькі адреси, серед них 44 Art Blocks, 10 Doodles, 2 Beeple «Spring Collection» та інші відомі бренди NFT. Частина з них — унікальні 1/1 художні роботи. Загальні збитки оцінюються приблизно у 230 000 доларів США.
Чи безпечно зараз користуватися платформою Gondi?
Gondi повідомила, що після завершення перевірки протоколу компаніями Blockaid та незалежними аудиторами, окрім функції «Sell & Repay», яка залишилась тимчасово вимкненою, всі інші операції — погашення кредитів, повторні переговори, рефінансування, видача нових кредитів, торгівля NFT — можна безпечно відновити.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Прорив XRP утримується, оскільки голосування щодо кредитування в XRPL набирає обертів
XRP демонструє тижневу силу, торгується вище EMAs після виходу з низхідного клину; XRPL просуває оновлення кредитування XLS-65/66 із пульованими сейфами та кредитами на фіксований термін; деривативи зростають за обсягом, відкритим інтересом і активністю опціонів.
Анотація: Цей звіт відзначає стійкий тижневий імпульс і цінову силу XRP вище ключових ковзних середніх після прориву з низхідного клину. У ньому розглядається голосування валідаторів XRPL щодо XLS-65 і XLS-66, що дає змогу для нативного кредитування, пульованих vaults ліквідності та кредитів на фіксований термін, щоб розширити ончейн фінансову активність. Також повідомляється про зростання участі в деривативах: вищий торговий обсяг, відкритий інтерес і сплеск активності опціонів, що вказує на посилення позиціонування трейдерів для подальшого прориву.
CryptoNewsLand24хв. тому
XRP пробивається, утримуючись, поки голосування щодо кредитування на XRPL набирає обертів
XRP демонструє тижневу силу, торгується вище EMAs після виходу з низхідного клину; XRPL просуває оновлення кредитування XLS-65/66 із пулованими віртуальними сейфами та кредитами з фіксованим строком; деривативи зростають за обсягом, відкритим інтересом і активністю опціонів.
Анотація: У цьому звіті зазначається стійкий тижневий імпульс і цінова сила XRP вище ключових ковзних середніх після прориву з низхідного клину. Він охоплює голосування валідаторів XRPL щодо XLS-65 та XLS-66, що дає змогу вбудованому кредитуванню, пулованим сейфам ліквідності та кредитам із фіксованим строком розширити ончейн-активність у фінансовій сфері. Також повідомляється про зростання участі в деривативах: вищий торговий обсяг, відкритий інтерес і сплеск активності опціонів, що вказує на посилення позиціонування трейдерів для подальшого прориву.
CryptoNewsLand24хв. тому
Засновник Aave Стані: команда просуває кілька рішень, відновила $70M в ETH
Повідомлення Gate News, 22 квітня — засновник Aave Стані заявив, що команда активно просуває розв’язання події в останні дні, з основним фокусом на захисті інтересів користувачів і забезпеченні впорядкованого відновлення ринку. За словами Стані, команда співпрацює з кількома партнерами, щоб просувати кілька шляхів до розв’язання, а Рада з безпеки Arbitrum відновила млн у ETH, що може суттєво знизити потенційне ризикове вплив.
GateNews1год тому
Input Output Global запитує 62,1 млн ADA на оновлення Cardano; запуск мережі Leios заплановано до кінця року
Повідомлення Gate News, 22 квітня — Input Output Global, ключова компанія з розробки, що стоїть за Cardano, подала до скарбниці Cardano дев’ять пропозицій на 2026 рік, запитуючи фінансування приблизно на 50% нижче, ніж у попередньому році. IOG запитує 62,1 мільйона ADA (приблизно $15,8 мільйона) для
GateNews1год тому
OpenSea запускає торгівлю мобільними безстроковими для бета-користувачів і розпочинає п’ятиденний торговий конкурс
Повідомлення Gate News, 22 квітня — OpenSea запровадила мобільну функцію торгівлі безстроковими (Perps) для вибраних бета-користувачів і запустить п’ятиденний торговий конкурс, що розпочнеться 23 квітня о 5:00 за UTC+8. Конкурс обмежений мобільними бета-тестерами, і всі учасники отримають початковий баланс гаманця в розмірі
GateNews1год тому
Розробник Cardano Дейв запускає платформу аналітики для казначейства DRep
Дейв з екосистеми Cardano запустив governance.cardano-visualisation.com для відстеження витрат казначейства DRep відносно ліміту Net Change Limit, візуалізації виведень ADA, із інтеграцією гаманця та підтримкою японської мови, просуваючи прозоре врядування та ширшу участь.
Анотація: У цій статті йдеться про запуск розробником екосистеми Cardano Дейвом governance.cardano-visualisation.com — аналітичної платформи, яка відстежує витрати казначейства DRep у співвідношенні з Net Change Limit мережі. Інструмент візуалізує виведення ADA, схвалені голосами щодо врядування, допомагаючи зацікавленим сторонам оцінювати, чи делеговані представники ефективно розпоряджаються коштами. Серед функцій — інтеграція гаманця для моніторингу в реальному часі, а також підтримка японської мови, щоб розширити доступність. Дейв стверджує, що прозорі дані з врядування дають учасникам змогу зрозуміти фінансові наслідки рішень і сприяють активнішій участі спільноти. Проєкт відповідає акценту Cardano на децентралізоване врядування та прозорість і запрошує відгуки користувачів, щоб врахувати їх у майбутніх оновленнях, розширити можливості та забезпечити більш поінформовану участь і нагляд.
GateNews2год тому
