NFT 借貸協議 Gondi 於 3 月 9 日宣布,正積極採取措施補償因智能合約漏洞而遭受損失的用戶。根據安全公司 Blockaid 的估計,攻擊者利用漏洞從多名受害者處竊取約 78 個 NFT,損失估計約 23 萬美元。Gondi 表示,除新版「Sell & Repay」合約中的邏輯缺陷,平台所有其他功能均已恢復。
漏洞機制解析:Sell & Repay 合約的關鍵邏輯缺陷
「Sell & Repay」是 Gondi NFT 借貸協議的核心功能之一,允許借款人在同一捆綁交易中出售已作為抵押品託管的 NFT,並自動償還貸款。2 月 20 日部署的最新合約版本,在「購買捆綁器」(Purchase Bundler)功能中引入了錯誤邏輯,未能正確驗證合約調用者是否為 NFT 的合法擁有者或授權借款人,使攻擊者得以繞過所有權檢查,在未持有 NFT 的情況下觸發轉移操作。
NFT 收藏家 tinoch 估計,一名潛在受害者的損失約達 55 ETH,按觀察時的市場價格約為 108,000 美元。 Gondi 強調,此次漏洞的影響範圍有限,處於活躍借貸狀態的 NFT「在任何時候均未受到影響」。
被盜 NFT 清單:知名系列遭受波及
根據 Etherscan 數據,被轉移的 78 個 NFT 涵蓋多個知名系列:
Art Blocks 代幣:44 個,佔此次被盜 NFT 的最大比例
Doodles:10 個
Beeple「Spring Collection」:2 個
其他:多個有價值 NFT 品牌及難以替代的獨一無二 1/1 藝術品
事件發生後,Gondi 迅速暫停「Sell & Repay」功能,並邀請 Blockaid 及獨立審計機構對整個協議進行全面安全審查。 Gondi 聲明,所有其他平台活動——包括貸款償還、再協商與再融資、發放新貸款、NFT 上架出售與交易——均可安全恢復。
Gondi 的補償行動:三管齊下的賠償策略
賠償工作從三個層面同步推進:
聯繫受影響用戶:Gondi 已主動聯繫所有與漏洞合約有過互動的用戶,確認損失範圍並開啟直接溝通管道。
追回並返還被盜 NFT:Gondi 追蹤到部分被盜 NFT 已被不知情的購買者轉手,成功說服這些購買者將 NFT 歸還給原始所有者。
協議費用回購類似品:對於無法直接追回的被盜 NFT,Gondi 開始使用協議費用從 1/1-of-X 系列中購買「類似物品」補償受影響用戶。 Gondi 表示:「雖然並非完全相同的物品,但我們相信這是一個公平且有意義的解決方案,並且我們正在與每位所有者直接協調。」對於丟失獨一無二 1/1 NFT 的受害者,Gondi 表示正與相關方進行「積極磋商」,以尋求個性化的補償方案。
常見問題
Gondi 是什麼平台,此次漏洞如何發生?
Gondi 是去中心化、非託管的 NFT 流動性市場與借貸協議,允許用戶將 NFT 作為貸款抵押品、借出資產賺取利息或進行再融資。此次漏洞源於 2 月 20 日部署的「Sell & Repay」合約新版本中的邏輯錯誤,購買捆綁器功能未能正確驗證調用者的合法身份,使攻擊者得以在不持有 NFT 的情況下觸發轉移。
哪些 NFT 在此次 Gondi 漏洞中遭到竊取?
共有 78 個 NFT 透過約 40 筆交易被轉移至攻擊者地址,包括 44 個 Art Blocks 代幣、10 個 Doodles、2 個 Beeple「Spring Collection」以及其他多個知名 NFT 品牌,部分為難以替代的獨一無二 1/1 藝術品,總損失約 23 萬美元。
目前 Gondi 平台是否安全恢復使用?
Gondi 表示,在 Blockaid 和獨立審計機構完成協議審查後,除「Sell & Repay」功能仍處於停用狀態外,所有其他平台活動均可安全恢復,包括貸款償還、再協商、再融資、新貸款發放以及 NFT 的買賣與交易。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Gerelateerde artikelen
Nous Research 深度解析:Paradigm 押注 10 億估值的去中心化 AI 實驗室,Hermes 模型與 Psyche 網路全面拆解
Nous Research 是一家開源 AI 實驗室,專注於 Hermes 系列模型,於 2025 年獲得 Paradigm 投資 5,000 萬美元,估值達 10 億。其獨特在於由 crypto native 團隊開發 AI 技術後再整合區塊鏈。核心產品 Hermes 模型以減少拒絕率為設計理念,且資料來源以合成資料為主。同時,Psyche Network 在 Solana 上構建去中心化 AI 訓練網路,透過代幣機制激勵參與者。Nous Research 採用開源與去中心化策略,旨在展現其技術實力及可行性。
ChainNewsAbmedia1u geleden
Ondo Finance 向美 SEC 提交不采取执法行动函请求,涉及代币化证券权益链上记录
Ondo Finance于4月13日向SEC提交请求,寻求确认在特定模式下,以代币化形式记录证券权益于以太坊主网的合规性。Ondo认为,这一链上记录能提升抵押品监控、优化流程并简化对账,旨在与传统金融协同运作。
GateNews2u geleden
Pi Network Distributes 26.5M PI to 1M KYC Validators
Pi Network has taken another step forward in building its ecosystem. The project recently distributed 26.5 million PI tokens to more than 1 million KYC validators.
These rewards were given to users who helped verify identities on the network. This process is important. Because it ensures that
Coinfomania3u geleden
Aave 深陷信任危機:服務商集體出走,「技術、治理與風控」全面失守
作者:Jae,PANews
比起熊市的外部壓力,Aave 內部反而先出現了一隻「黑天鵝」。
長期盤踞借貸協議王座的 Aave,正遭遇自成立以來最慘烈的生態震盪。沒有駭客攻擊,沒有程式碼漏洞,有的只是權力失控和利益反目。
從技術支柱 BGD Labs 的毅然離去,到治理先鋒 ACI(Aave Chan Initiative)的公開決裂,再到風控管家 Chaos Labs 的官宣斷交,一場服務商「大撤退」正在上演。
這場博弈的深度遠超的合作糾紛,它觸發了
区块客4u geleden
Hyperliquid 主网上线优先费用机制,订单优先费用上限下调至 8 bps
Hyperliquid创始人Jeff在Discord宣布,优先费用机制已在主网以Alpha模式上线,包括Gossip和Order两种类型。用户可用HYPE代币支付,订单优先费用上限由20 bps降至8 bps,目前仅适用于HIP-3资产的IOC订单。
GateNews5u geleden
Byreal 推出链上 AI 交易助手 RealClaw,支持第三方技能扩展
Byreal于4月13日推出了链上AI交易助手RealClaw,该工具基于OpenClaw框架,支持第三方技能扩展,用户可自定义交易策略,目前处于Alpha测试阶段,仅向受邀用户开放。
GateNews5u geleden
