Incident Overview
La piattaforma di prestito di token non fungibili Gondi ha promesso di risarcire gli utenti colpiti da un exploit avvenuto lunedì, durante il quale un attaccante ha rubato circa 230.000 dollari in NFT dal protocollo.
Details of the Exploit
Secondo un aggiornamento post-incidente, Gondi ha confermato che un exploit del suo “Sell & Repay contract” ha permesso a un attaccante di prelevare circa 230.000 dollari in NFT custoditi dal protocollo. Questo contratto consente ai mutuatari di vendere NFT custoditi e successivamente rimborsare prestiti in sospeso sulla piattaforma.
Una versione aggiornata del contratto è stata implementata il 20 febbraio, ma Gondi non ha chiarito come sia stata sfruttata la vulnerabilità. L’exploit non ha impattato altre parti del protocollo e la piattaforma ha sospeso il contratto mentre lavora a una soluzione, mentre altri servizi rimangono operativi.
“Tutti gli utenti che hanno interagito con questo contratto e sono stati colpiti sono stati contattati direttamente dal nostro team,” ha scritto Gondi.
Compensation Plan
In un aggiornamento successivo, il protocollo ha dichiarato che intende risarcire gli utenti colpiti acquistando articoli comparabili dalla stessa collezione. “Anche se non si tratta dello stesso pezzo, riteniamo che questa sia una risoluzione equa e significativa e stiamo coordinando direttamente con ciascun proprietario,” ha aggiunto.
Security Assessment
Gondi è stata successivamente esaminata dal team di Blockaid e da un revisore indipendente, che hanno concluso che il protocollo è sicuro da utilizzare. Secondo Blockaid, l’attaccante ha iniziato a vendere alcuni degli NFT rubati dopo l’exploit.
Recovery Efforts
Nell’ultimo aggiornamento, Gondi ha dichiarato che il portafoglio dell’attaccante conteneva ancora alcuni degli NFT rubati, mentre il resto era stato venduto a “acquirenti innocenti che non avevano conoscenza dell’exploit.”
“Ci siamo messi in contatto con ciascuno di loro direttamente e abbiamo chiesto il loro aiuto per restituire gli articoli ai legittimi proprietari,” ha aggiunto.
Nel frattempo, almeno quattro NFT sono stati recuperati e restituiti dalla comunità NFT, tra cui Aluminum Gazer, Servant of the Muse, Doodle e Lil Pudgy.
Funding for Compensation
La piattaforma ha dichiarato di utilizzare le proprie commissioni di protocollo per riacquistare gli articoli recuperati e risarcire gli utenti colpiti. L’exploit di Gondi segna il secondo attacco in due settimane. Come riportato in precedenza da crypto.news, la piattaforma DeFi focalizzata su Bitcoin Solv Protocol è stata sfruttata alla fine della scorsa settimana, consentendo all’hacker di drenare circa 2,7 milioni di dollari in fondi da uno dei suoi vault di token.
