Incident de sécurité sur la plateforme Gondi
La plateforme de prêt de jetons non fongibles Gondi a annoncé son intention d’indemniser les utilisateurs affectés par une exploitation survenue lundi, au cours de laquelle un attaquant a dérobé environ 230 000 $ en NFTs du protocole.
Détails de l’exploitation
Dans une mise à jour post-incident, Gondi a confirmé qu’une faille dans son « contrat de vente et de remboursement » avait permis à l’attaquant de retirer environ 230 000 $ en NFTs sous séquestre. Ce contrat permet aux emprunteurs de vendre des NFTs sous séquestre et de rembourser ultérieurement les prêts en cours sur la plateforme.
Bien qu’une version mise à jour du contrat ait été déployée le 20 février, Gondi n’a pas précisé comment la vulnérabilité a été exploitée. L’exploitation n’a pas eu d’impact sur d’autres parties du protocole, et la plateforme a suspendu le contrat pendant qu’elle travaille sur une solution, tandis que d’autres services demeurent opérationnels.
« Tous les utilisateurs ayant interagi avec ce contrat et ayant été impactés ont été contactés directement par notre équipe, » a déclaré Gondi.
Indemnisation des utilisateurs
Dans une mise à jour ultérieure, le protocole a annoncé qu’il prévoyait de rembourser intégralement les utilisateurs affectés en achetant des articles comparables de la même collection. « Bien que ce ne soit pas exactement la même pièce, nous croyons que c’est une résolution juste et significative, et nous coordonnons directement avec chaque propriétaire, » a-t-il ajouté.
État actuel et récupération des NFTs
Gondi a depuis été examiné par l’équipe de Blockaid et un auditeur indépendant, qui ont conclu que le protocole est sûr à utiliser. Selon Blockaid, l’attaquant a commencé à vendre certains des NFTs volés après l’exploitation. À la dernière mise à jour, Gondi a indiqué que le portefeuille de l’attaquant contenait encore certains des NFTs volés, tandis que le reste avait été vendu à « des acheteurs innocents » qui n’avaient aucune connaissance de l’exploitation.
« Nous avons contacté chacun d’eux directement et leur avons demandé de nous aider à retourner les articles à leurs propriétaires légitimes, » a-t-il ajouté.
Pendant ce temps, au moins quatre NFTs ont été récupérés et retournés par la communauté NFT, y compris Aluminum Gazer, Servant of the Muse, Doodle et Lil Pudgy. La plateforme a déclaré qu’elle utilisait ses frais de protocole pour racheter les articles récupérés et indemniser les utilisateurs affectés.
Contexte de l’attaque
L’exploitation de Gondi marque la deuxième attaque en deux semaines. Comme précédemment rapporté par crypto.news, la plateforme DeFi axée sur Bitcoin, Solv Protocol, a été exploitée la semaine dernière, permettant à un hacker de siphonner environ 2,7 millions de dollars de fonds d’un de ses coffres de jetons.
