La plataforma de préstamo de tokens no fungibles Gondi se ha comprometido a compensar a los usuarios afectados en un exploit del lunes durante el cual el atacante robó aproximadamente 230.000 dólares en NFT del protocolo.
Resumen
- Gondi confirmó que un exploit en su contrato Sell & Repay permitió a un atacante robar alrededor de 230.000 dólares en NFT en custodia, lo que llevó a la plataforma a desactivar la función.
- El protocolo decía que los usuarios afectados serán compensados mediante la compra de NFT comparables de las mismas colecciones.
Según un post-incidente actualizarGondi confirmó que un exploit de su “contrato de Venta y Reembolso” permitió a un atacante retirar del protocolo aproximadamente 230.000 dólares en NFT en custodia. El contrato permite a los prestatarios vender NFT en garantía y posteriormente reembolsar los préstamos pendientes en la plataforma.
El 20 de febrero se implementó una versión actualizada del contrato, pero Gondi no aclaró cómo se aprovechó la vulnerabilidad.
El exploit no afectó a ninguna otra parte del protocolo y la plataforma suspendió el contrato mientras trabaja en una solución mientras otros servicios permanecen operativos.
“Todos los usuarios que interactuaron con este contrato y se vieron afectados fueron contactados directamente por nuestro equipo”, escribió Gondi. En un posterior actualizarel protocolo dijo que planea compensar a los usuarios afectados comprando artículos comparables de la misma colección.
“Aunque no es exactamente la misma pieza, creemos que se trata de una resolución justa y significativa y estamos coordinando directamente con cada propietario”, añadió.
Desde entonces, Gondi ha sido revisado por el equipo de Blockaid y un auditor independiente, quienes concluyeron que el protocolo es seguro de usar.
Según Blockaid, el atacante comenzó a vender algunos de los NFT robados después del exploit. En la última actualización, Gondi dijo que la billetera del atacante todavía contenía algunos de los NFT robados, mientras que el resto se vendió a “compradores inocentes que no tenían conocimiento del exploit”.
“Nos comunicamos directamente con cada uno de ellos y les pedimos ayuda para devolver los artículos a sus legítimos propietarios”, añadió.
Mientras tanto, la comunidad de NFT recuperó y devolvió al menos cuatro NFT, incluidos Aluminium Gazer, Servant of the Muse, Doodle y Lil Pudgy.
La plataforma dijo que estaba utilizando sus tarifas de protocolo para recomprar los artículos recuperados y compensar a los usuarios afectados.
El ataque de Gondi marca el segundo ataque en dos semanas. Como informó anteriormente crypto.news, la plataforma DeFi centrada en Bitcoin Solv Protocol fue explotada a fines de la semana pasada, lo que permitió al hacker drenar aproximadamente $2,7 millones en fondos de una de sus bóvedas de tokens.