Gondi 23 萬美元漏洞後啟動賠償，追回被盜 NFT 返還原主

NFT 借貸協議 Gondi 於 3 月 9 日宣布，正積極採取措施補償因智能合約漏洞而遭受損失的用戶。根據安全公司 Blockaid 的估計，攻擊者利用漏洞從多名受害者處竊取約 78 個 NFT，損失估計約 23 萬美元。Gondi 表示，除新版「Sell & Repay」合約中的邏輯缺陷，平台所有其他功能均已恢復。

漏洞機制解析：Sell & Repay 合約的關鍵邏輯缺陷

「Sell & Repay」是 Gondi NFT 借貸協議的核心功能之一，允許借款人在同一捆綁交易中出售已作為抵押品託管的 NFT，並自動償還貸款。2 月 20 日部署的最新合約版本，在「購買捆綁器」（Purchase Bundler）功能中引入了錯誤邏輯，未能正確驗證合約調用者是否為 NFT 的合法擁有者或授權借款人，使攻擊者得以繞過所有權檢查，在未持有 NFT 的情況下觸發轉移操作。

NFT 收藏家 tinoch 估計，一名潛在受害者的損失約達 55 ETH，按觀察時的市場價格約為 108,000 美元。 Gondi 強調，此次漏洞的影響範圍有限，處於活躍借貸狀態的 NFT「在任何時候均未受到影響」。

被盜 NFT 清單：知名系列遭受波及

根據 Etherscan 數據，被轉移的 78 個 NFT 涵蓋多個知名系列：

Art Blocks 代幣：44 個，佔此次被盜 NFT 的最大比例

Doodles：10 個

Beeple「Spring Collection」：2 個

其他：多個有價值 NFT 品牌及難以替代的獨一無二 1/1 藝術品

事件發生後，Gondi 迅速暫停「Sell & Repay」功能，並邀請 Blockaid 及獨立審計機構對整個協議進行全面安全審查。 Gondi 聲明，所有其他平台活動——包括貸款償還、再協商與再融資、發放新貸款、NFT 上架出售與交易——均可安全恢復。

Gondi 的補償行動：三管齊下的賠償策略

賠償工作從三個層面同步推進：

聯繫受影響用戶：Gondi 已主動聯繫所有與漏洞合約有過互動的用戶，確認損失範圍並開啟直接溝通管道。

追回並返還被盜 NFT：Gondi 追蹤到部分被盜 NFT 已被不知情的購買者轉手，成功說服這些購買者將 NFT 歸還給原始所有者。

協議費用回購類似品：對於無法直接追回的被盜 NFT，Gondi 開始使用協議費用從 1/1-of-X 系列中購買「類似物品」補償受影響用戶。 Gondi 表示：「雖然並非完全相同的物品，但我們相信這是一個公平且有意義的解決方案，並且我們正在與每位所有者直接協調。」對於丟失獨一無二 1/1 NFT 的受害者，Gondi 表示正與相關方進行「積極磋商」，以尋求個性化的補償方案。

常見問題

Gondi 是什麼平台，此次漏洞如何發生？

Gondi 是去中心化、非託管的 NFT 流動性市場與借貸協議，允許用戶將 NFT 作為貸款抵押品、借出資產賺取利息或進行再融資。此次漏洞源於 2 月 20 日部署的「Sell & Repay」合約新版本中的邏輯錯誤，購買捆綁器功能未能正確驗證調用者的合法身份，使攻擊者得以在不持有 NFT 的情況下觸發轉移。

哪些 NFT 在此次 Gondi 漏洞中遭到竊取？

共有 78 個 NFT 透過約 40 筆交易被轉移至攻擊者地址，包括 44 個 Art Blocks 代幣、10 個 Doodles、2 個 Beeple「Spring Collection」以及其他多個知名 NFT 品牌，部分為難以替代的獨一無二 1/1 藝術品，總損失約 23 萬美元。

目前 Gondi 平台是否安全恢復使用？

Gondi 表示，在 Blockaid 和獨立審計機構完成協議審查後，除「Sell & Repay」功能仍處於停用狀態外，所有其他平台活動均可安全恢復，包括貸款償還、再協商、再融資、新貸款發放以及 NFT 的買賣與交易。