Hợp đồng cho vay NFT Gondi ngày 9 tháng 3 đã thông báo rằng họ đang tích cực thực hiện các biện pháp bồi thường cho các người dùng bị thiệt hại do lỗ hổng hợp đồng thông minh. Theo ước tính của công ty an ninh Blockaid, kẻ tấn công đã lợi dụng lỗ hổng để trộm khoảng 78 NFT từ nhiều nạn nhân, thiệt hại ước tính khoảng 230.000 USD. Gondi cho biết, ngoài lỗi logic trong hợp đồng mới “Sell & Repay”, tất cả các chức năng khác của nền tảng đã được khôi phục.
Phân tích cơ chế lỗ hổng: Những điểm thiếu sót chính trong hợp đồng Sell & Repay
“Sell & Repay” là một trong những chức năng cốt lõi của giao thức cho vay NFT Gondi, cho phép người vay bán NFT đã được cầm cố trong cùng một giao dịch gói và tự động thanh toán khoản vay. Phiên bản hợp đồng mới được triển khai vào ngày 20 tháng 2 đã mắc lỗi logic trong chức năng “Purchase Bundler”, không xác minh đúng đắn xem người gọi hợp đồng có phải là chủ sở hữu hợp pháp hoặc người được ủy quyền của NFT hay không, khiến kẻ tấn công có thể bỏ qua kiểm tra quyền sở hữu và thực hiện thao tác chuyển NFT mà không cần sở hữu NFT đó.
Nhà sưu tập NFT tinoch ước tính, thiệt hại của một nạn nhân tiềm năng khoảng 55 ETH, theo giá thị trường tại thời điểm đó khoảng 108.000 USD. Gondi nhấn mạnh rằng phạm vi ảnh hưởng của lỗ hổng này là hạn chế, các NFT đang trong trạng thái vay mượn hoạt động vẫn chưa bị ảnh hưởng ở bất kỳ thời điểm nào.
Danh sách NFT bị đánh cắp: Các bộ sưu tập nổi tiếng bị ảnh hưởng
Theo dữ liệu của Etherscan, 78 NFT bị chuyển đi bao gồm nhiều bộ sưu tập nổi tiếng:
- Token Art Blocks: 44 chiếc, chiếm tỷ lệ lớn nhất trong số NFT bị đánh cắp
- Doodles: 10 chiếc
- Beeple “Spring Collection”: 2 chiếc
- Các bộ sưu tập khác: nhiều NFT có giá trị cao và các tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế
Sau sự kiện, Gondi đã nhanh chóng tạm dừng chức năng “Sell & Repay” và mời Blockaid cùng các tổ chức kiểm toán độc lập tiến hành kiểm tra toàn diện về độ an toàn của hợp đồng. Gondi tuyên bố rằng tất cả các hoạt động khác của nền tảng — bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới, niêm yết và giao dịch NFT — đều có thể được khôi phục một cách an toàn.
Hành động bồi thường của Gondi: Chiến lược đền bù toàn diện
Việc bồi thường được tiến hành đồng bộ trên ba cấp độ:
- Liên hệ với người dùng bị ảnh hưởng: Gondi đã chủ động liên hệ với tất cả các người dùng đã từng tương tác với hợp đồng có lỗ hổng để xác nhận phạm vi thiệt hại và mở ra kênh giao tiếp trực tiếp.
- Thu hồi và hoàn trả NFT bị đánh cắp: Gondi đã theo dõi và phát hiện một số NFT bị đánh cắp đã bị người mua không biết chuyển nhượng, thành công thuyết phục các người mua này trả lại NFT cho chủ sở hữu ban đầu.
- Mua lại các mặt hàng tương tự bằng phí hợp đồng: Đối với các NFT bị đánh cắp không thể thu hồi trực tiếp, Gondi bắt đầu sử dụng phí của hợp đồng để mua các “tương tự” trong các series 1/1-of-X nhằm đền bù cho người dùng bị ảnh hưởng. Gondi cho biết: “Dù không phải là cùng một vật phẩm hoàn toàn, nhưng chúng tôi tin rằng đây là một giải pháp công bằng và có ý nghĩa, và chúng tôi đang trực tiếp phối hợp với từng chủ sở hữu.” Đối với những người bị mất NFT 1/1 độc nhất vô nhị, Gondi cho biết đang tiến hành “thảo luận tích cực” với các bên liên quan để tìm kiếm các phương án đền bù cá nhân hóa.
Các câu hỏi thường gặp
Gondi là nền tảng gì, lỗ hổng này xảy ra như thế nào?
Gondi là một thị trường thanh khoản NFT phi tập trung, không quản lý, cho phép người dùng cầm cố NFT làm tài sản thế chấp vay vốn, cho vay hoặc tái cấp vốn. Lỗ hổng này xuất phát từ lỗi logic trong phiên bản hợp đồng “Sell & Repay” mới được triển khai vào ngày 20 tháng 2, chức năng mua gói không xác minh đúng danh tính người gọi, khiến kẻ tấn công có thể thực hiện chuyển NFT mà không cần sở hữu.
Những NFT nào đã bị đánh cắp trong lỗ hổng của Gondi?
Có tổng cộng 78 NFT đã bị chuyển đến địa chỉ của kẻ tấn công qua khoảng 40 giao dịch, bao gồm 44 token Art Blocks, 10 Doodles, 2 NFT trong bộ sưu tập “Spring Collection” của Beeple và nhiều thương hiệu NFT nổi tiếng khác, trong đó có một số tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế, tổng thiệt hại khoảng 230.000 USD.
Hiện tại nền tảng Gondi có an toàn để sử dụng trở lại không?
Gondi cho biết, sau khi Blockaid và các tổ chức kiểm toán độc lập hoàn tất kiểm tra hợp đồng, ngoài việc tạm thời ngưng chức năng “Sell & Repay”, tất cả các hoạt động khác của nền tảng đều có thể được khôi phục một cách an toàn, bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới và mua bán, giao dịch NFT.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Hong Kong Launches 24/7 Trading Framework for Tokenized Funds, AUM Reaches $1.37B
Hong Kong's Securities and Futures Commission (SFC) has established a regulatory framework for round-the-clock trading of tokenized products on licensed platforms. With 13 tokenized products and approximately HK$10.7 billion in assets, this initiative aims to integrate traditional finance with Web3 through regulated stablecoins and tokenized deposits, enhancing liquidity.
GateNews2giờ trước
Nhật Bản khởi động dự án xác thực mạng Canton, thử nghiệm trái phiếu chính phủ làm tài sản thế chấp số
JPX日本交易所集团旗下的JSCC与瑞穗、野村及Digital Asset合作,启动基于Canton网络的概念验证项目,测试日本国债作为数字抵押品的可行性,旨在提高金融市场流动性与管理效率,并确保不违反现行法规。该计划也涵盖跨境交易场景,预示着日本国债在数字资产领域的应用潜力。
ChainNewsAbmedia3giờ trước
Vitalik Buterin vạch ra lộ trình 5 năm của Ethereum tập trung vào bảo mật lượng tử và khả năng mở rộng
Vitalik Buterin đã trình bày lộ trình 5 năm của Ethereum, tập trung vào bảo mật lượng tử và khả năng mở rộng. Các mục tiêu chính bao gồm tăng giới hạn gas, triển khai Bằng chứng Không tri thức (Zero Knowledge Proofs) và cải thiện thời gian xác nhận giao dịch vào năm 2028, bất chấp những thách thức với chữ ký kháng lượng tử.
GateNews3giờ trước
Nexchain Smart Actions mang AI đến Web3 tự động
Nexchain đã giới thiệu Smart Actions, một bộ các mô-đun thông minh được thiết kế để chuyển đổi các mạng blockchain từ các hệ thống thủ công, phản ứng sang các môi trường tự chủ và tự tối ưu hóa, theo một thông báo vào ngày 18 tháng 4 năm 2026. Sản phẩm phản ánh cam kết của công ty trong việc xây dựng
CryptoFrontier5giờ trước
Hồng Kông SFC cùng ngày phát hành hai thông cáo token hóa (26EC22/26EC23): Toàn bộ phân tích chi tiết quy tắc giao dịch thứ cấp và đăng ký/chào mua - mua lại cấp một của VATP
Ủy ban Chứng khoán và Hợp đồng Tương lai Hồng Kông sẽ ban hành hai thông cáo hướng dẫn sản phẩm được token hóa vào năm 2026, lần lượt tập trung vào các quy định đối với đăng ký và mua lại trên thị trường sơ cấp và giao dịch trên thị trường thứ cấp, đồng thời làm rõ trách nhiệm của nhà cung cấp sản phẩm, yêu cầu về thanh khoản và cơ chế định giá công bằng. Khung quy định mới sẽ tác động đến cách thức vận hành của ngành và tạo ra cơ hội kinh doanh mới cho các luật sư tuân thủ, hình thành mẫu tham chiếu cho hoạt động giám sát tài chính token hóa tại khu vực Châu Á - Thái Bình Dương.
ChainNewsAbmedia7giờ trước
World nâng cấp World ID thành giao thức Proof-of-Human full-stack trải rộng 160 quốc gia
Thế giới đã ra mắt một giao thức World ID nâng cấp để xác thực số an toàn trong nhiều lĩnh vực. Nó tăng cường quyền riêng tư và hỗ trợ các ứng dụng AI đồng thời quản lý danh tính người dùng trên 160 quốc gia, xác minh gần 18 triệu cá nhân.
GateNews10giờ trước
