NFT Verleihprotokoll Gondi kündigte am 9. März an, aktiv Maßnahmen zur Entschädigung der Nutzer zu ergreifen, die durch eine Schwachstelle im Smart Contract Verluste erlitten haben. Laut Sicherheitsfirma Blockaid wurden durch die Schwachstelle etwa 78 NFTs von mehreren Opfern gestohlen, mit einem geschätzten Verlust von rund 230.000 US-Dollar. Gondi erklärte, dass alle Funktionen der Plattform außer der neuen Version des „Sell & Repay“-Vertrags wiederhergestellt wurden.
Analyse der Schwachstellen: Das Kernproblem im Sell & Repay-Vertrag
„Sell & Repay“ ist eine der Kernfunktionen des Gondi NFT Verleihprotokolls, die es Kreditnehmern ermöglicht, in einer einzigen Transaktion NFTs, die als Sicherheit hinterlegt sind, zu verkaufen und den Kredit automatisch zurückzuzahlen. Die neueste Version des Vertrags, die am 20. Februar bereitgestellt wurde, enthält eine fehlerhafte Logik im „Purchase Bundler“-Feature, das es nicht korrekt prüft, ob der Anrufer des Vertrags der rechtmäßige Eigentümer oder autorisierte Kreditnehmer des NFTs ist. Dadurch konnten Angreifer die Eigentumsprüfung umgehen und Transaktionen auslösen, ohne die NFTs zu besitzen.
NFT-Sammler tinoch schätzt, dass ein potenzielles Opfer Verluste von etwa 55 ETH erlitten hat, was bei den damaligen Marktpreisen ungefähr 108.000 US-Dollar entspricht. Gondi betonte, dass die Auswirkungen der Schwachstelle begrenzt seien und NFTs, die sich in aktiven Verleihprozessen befinden, zu keinem Zeitpunkt betroffen waren.
Liste der gestohlenen NFTs: Betroffene bekannte Serien
Laut Etherscan wurden insgesamt 78 NFTs auf mehrere bekannte Serien übertragen:
- Art Blocks Tokens: 44, größter Anteil der gestohlenen NFTs
- Doodles: 10
- Beeple „Spring Collection“: 2
- Weitere: Mehrere wertvolle NFT-Marken und einzigartige 1/1 Kunstwerke
Nach dem Vorfall hat Gondi die „Sell & Repay“-Funktion sofort deaktiviert und unabhängige Sicherheitsprüfer sowie Blockaid zur umfassenden Überprüfung des gesamten Protokolls eingeladen. Gondi erklärte, dass alle anderen Plattformaktivitäten – einschließlich Rückzahlungen, Neuverhandlungen, Refinanzierungen, Vergabe neuer Kredite sowie NFT-Verkäufe und -Handel – sicher wieder aufgenommen werden können.
Gondis Entschädigungsmaßnahmen: Ein dreistufiger Ansatz
Die Entschädigung erfolgt in drei parallelen Maßnahmen:
- Kontaktaufnahme mit den betroffenen Nutzern: Gondi hat alle Nutzer, die mit dem Schwachstellenvertrag interagiert haben, aktiv kontaktiert, um den Umfang der Verluste zu klären und direkte Kommunikationswege zu eröffnen.
- Wiederbeschaffung und Rückgabe der gestohlenen NFTs: Gondi hat einige gestohlene NFTs verfolgt, die uninformiert von Käufern weiterverkauft wurden, und konnte diese Käufer erfolgreich überzeugen, die NFTs an die ursprünglichen Eigentümer zurückzugeben.
- Rückkauf ähnlicher Gegenstände durch das Protokoll: Für NFTs, die nicht direkt zurückgeholt werden können, nutzt Gondi Protokollgebühren, um „ähnliche Objekte“ aus 1/1-Serien zu kaufen und die betroffenen Nutzer zu entschädigen. Gondi erklärte: „Obwohl es sich nicht um exakt gleiche Gegenstände handelt, glauben wir, dass dies eine faire und sinnvolle Lösung ist, und wir koordinieren direkt mit jedem Eigentümer.“ Für Opfer, die ein einzigartiges 1/1 NFT verloren haben, führt Gondi aktive Verhandlungen, um individuelle Entschädigungslösungen zu finden.
Häufig gestellte Fragen
Was ist Gondi und wie kam es zu dieser Schwachstelle?
Gondi ist ein dezentraler, nicht verwahrter NFT-Liquiditätsmarkt und Verleihprotokoll, das Nutzern ermöglicht, NFTs als Sicherheiten zu hinterlegen, Assets zu verleihen oder Refinanzierungen durchzuführen. Die Schwachstelle entstand durch einen Fehler im neuen „Sell & Repay“-Vertrag, der am 20. Februar veröffentlicht wurde. Das „Purchase Bundler“-Feature prüfte nicht korrekt, ob der Anrufer legitim war, wodurch Angreifer Transaktionen ohne NFT-Besitz auslösen konnten.
Welche NFTs wurden bei diesem Vorfall gestohlen?
Insgesamt wurden 78 NFTs durch etwa 40 Transaktionen auf die Angreiferadresse übertragen, darunter 44 Art Blocks Tokens, 10 Doodles, 2 Beeple „Spring Collection“-NFTs sowie weitere bekannte Marken. Einige dieser NFTs sind einzigartige 1/1 Kunstwerke. Der geschätzte Gesamtschaden beträgt etwa 230.000 US-Dollar.
Ist die Gondi-Plattform derzeit wieder sicher nutzbar?
Gondi gab bekannt, dass nach Abschluss der Sicherheitsüberprüfungen durch Blockaid und unabhängige Prüfer alle Plattformaktivitäten außer der deaktivierten „Sell & Repay“-Funktion wieder sicher durchgeführt werden können, inklusive Rückzahlungen, Neuverhandlungen, Refinanzierungen, Kreditvergabe sowie NFT-Handel.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
DefiLlama-Gründer: Arbitrum priorisiert beschlagnahmte Mittel für den Aave-Markt und könnte die schlechte Schuld um 80 % senken
Gate News-Nachricht, 21. April — Laut dem DefiLlama-Gründer 0xngmi könnte die schlechte Schuld erheblich reduziert werden, wenn Arbitrum die Verwendung beschlagnahmter Mittel für den Aave-Markt auf Arbitrum priorisiert. In einem Szenario der „Loss-Sozialisierung“ hätte Arbitrum überhaupt keine schlechte Schuld; wenn rsETH auf der L2 ein Szenario mit Nullrisiko gegenübersteht, könnte die Aave-Schuld in Arbitrum um etwa 80 % sinken, von million auf million.
Die Analyse von 0xngmi legt nahe, dass eine strategische Allokation beschlagnahmter Mittel das Risikoausmaß für Kreditrisiken im Arbitrum-Ökosystem erheblich mindern könnte.
GateNews40M her
Singapurs MetaComp bringt ein KI-Agenten-Framework für Finanz-Compliance und Zahlungen auf den Markt
MetaComp stellt StableX Know Your Agent für regulierte KI im Zahlungsverkehr vor und kombiniert Multi-Vendor-Analytik, um falsche „Clean Rates“ drastisch zu senken; dabei unterstützen AgentX Skills Claude. Ziel ist ein nachvollziehbares Cross-Border-Finanzwesen über herunterladbare KI-Skills.
Abstrakt: MetaComp stellt das StableX Know Your Agent Framework vor, um KI-Agenten in regulierten Zahlungs- und Wealth-Management-Prozessen zu steuern. Es umfasst Identität, Berechtigungen, Monitoring, Auditing und Interaktionen zwischen Agenten. Es senkt False Positives durch parallele Analytik mehrerer Anbieter und ermöglicht ein nachvollziehbares Cross-Border-Finanzwesen über herunterladbare KI-Skills (AgentX), beginnend mit der Unterstützung für Claude und der anschließenden Ausweitung über Regionen hinweg.
GateNews55M her
Konsortium Qivalis mit 12 europäischen Banken bringt Euro-Stablecoin-Start für H2 2026 vor
Qivalis, ein europäisches Konsortium mit 12 Banken, darunter BBVA und BNP Paribas, treibt einen Euro-Stablecoin voran, der mit einem geplanten Start im H2 2026 anläuft. Das Projekt wird von Fireblocks für Emission und Vertrieb unterstützt und unterliegt der Aufsicht der niederländischen Zentralbank gemäß MiCAR.
Abstrakt: Das Qivalis-Projekt für einen Euro-Stablecoin, gestützt von 12 europäischen Banken und Fireblocks, zielt auf einen Start im H2 2026 mit Aufsicht der niederländischen Zentralbank unter MiCAR ab und möchte die Nutzung von Euro-denominierten Stablecoins in institutionellen Märkten ausweiten.
GateNews1Std her
OCBC startet tokenisierten GOLDX-Goldfonds auf Ethereum und Solana
OCBC bringt GOLDX auf den Markt, einen tokenisierten physischen Goldfonds auf Ethereum und Solana, gemeinsam mit Lion Global Investors und DigiFT, mit Fokus auf Institutionen und Web3-Teilnehmer; tokenisierte RWAs erreichen $29B auf den Ketten.
OCBC brachte gemeinsam mit Lion Global Investors und DigiFT GOLDX an den Start, eine tokenisierte Version des LionGlobal Singapore Physical Gold Fund auf Ethereum und Solana. Das Produkt richtet sich an institutionelle Anleger und vermögende Privatpersonen und ermöglicht Käufe mit Stablecoins oder Fiat sowie die Auslieferung an Blockchain-Wallets, wodurch eine On-Chain-Exponierung gegenüber etwa $525 Millionen an Gold-Assets entsteht. OCBC betrachtet GOLDX als Meilenstein, der traditionelles Finanzwesen mit dem dezentralen Finanz-Ökosystem verbindet, um Web3-Teilnehmer anzuziehen. Der breitere Kontext zeigt ein rasantes Wachstum tokenisierter Real-World-Assets: RWAs auf öffentlichen Blockchains überstiegen bis Mitte April 2026 $29 Milliarden, während Goldpreise in einer engen Spanne um $4,775–$4,831 pro Unze handelten.
GateNews1Std her
Aave rsETH Ereignis-Update: Core V3 WETH entfroren, die fünf großen Marktreserven bleiben eingefroren
Aave hat am 21. April auf der X-Plattform bekanntgegeben, dass die WETH-Reserven im Ethereum Core V3 Markt entsperrt wurden, sodass Nutzer wieder WETH im Ethereum Core V3 bereitstellen können; die Loan-to-Value-Quote (LTV) für WETH-Darlehen bleibt weiterhin bei 0. Die WETH-Reserven auf Ethereum Prime, Arbitrum, Base, Mantle und Linea bleiben weiterhin eingefroren.
MarketWhisper2Std her
Ice Open Network: Interne Mitarbeiter leaken Daten, nachdem der ION-Token abgestürzt ist, setzt das Projekt auf eine Neustrukturierung, um zu überleben
Ice Open Network hat am 20. April auf X einen Beitrag veröffentlicht und bestätigt, dass in der vergangenen Woche ein Datenleck aufgetreten ist. Der Vorfall habe seinen Ursprung darin, dass vier Partner nach der Beendigung ihrer geschäftlichen Beziehungen zu einem Drittanbieter weiterhin auf externe Server zugriffen und dabei die E-Mail-Adressen der Nutzer, 2FA-Telefonnummern sowie Identitätszuordnungsdaten offengelegt wurden. Der Hintergrund dieses Vorfalls ist: Der ION-Token war vor zwei Wochen bereits um 93% eingebrochen, und das Projektteam befindet sich derzeit in einer Phase umfangreicher Notfall-Umstrukturierung.
MarketWhisper3Std her
