Hợp đồng cho vay NFT Gondi ngày 9 tháng 3 đã thông báo rằng họ đang tích cực thực hiện các biện pháp bồi thường cho các người dùng bị thiệt hại do lỗ hổng hợp đồng thông minh. Theo ước tính của công ty an ninh Blockaid, kẻ tấn công đã lợi dụng lỗ hổng để trộm khoảng 78 NFT từ nhiều nạn nhân, thiệt hại ước tính khoảng 230.000 USD. Gondi cho biết, ngoài lỗi logic trong hợp đồng mới “Sell & Repay”, tất cả các chức năng khác của nền tảng đã được khôi phục.

Phân tích cơ chế lỗ hổng: Những điểm thiếu sót chính trong hợp đồng Sell & Repay

“Sell & Repay” là một trong những chức năng cốt lõi của giao thức cho vay NFT Gondi, cho phép người vay bán NFT đã được cầm cố trong cùng một giao dịch gói và tự động thanh toán khoản vay. Phiên bản hợp đồng mới được triển khai vào ngày 20 tháng 2 đã mắc lỗi logic trong chức năng “Purchase Bundler”, không xác minh đúng đắn xem người gọi hợp đồng có phải là chủ sở hữu hợp pháp hoặc người được ủy quyền của NFT hay không, khiến kẻ tấn công có thể bỏ qua kiểm tra quyền sở hữu và thực hiện thao tác chuyển NFT mà không cần sở hữu NFT đó.

Nhà sưu tập NFT tinoch ước tính, thiệt hại của một nạn nhân tiềm năng khoảng 55 ETH, theo giá thị trường tại thời điểm đó khoảng 108.000 USD. Gondi nhấn mạnh rằng phạm vi ảnh hưởng của lỗ hổng này là hạn chế, các NFT đang trong trạng thái vay mượn hoạt động vẫn chưa bị ảnh hưởng ở bất kỳ thời điểm nào.

Danh sách NFT bị đánh cắp: Các bộ sưu tập nổi tiếng bị ảnh hưởng

Theo dữ liệu của Etherscan, 78 NFT bị chuyển đi bao gồm nhiều bộ sưu tập nổi tiếng:

Token Art Blocks: 44 chiếc, chiếm tỷ lệ lớn nhất trong số NFT bị đánh cắp
Doodles: 10 chiếc
Beeple “Spring Collection”: 2 chiếc
Các bộ sưu tập khác: nhiều NFT có giá trị cao và các tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế

Sau sự kiện, Gondi đã nhanh chóng tạm dừng chức năng “Sell & Repay” và mời Blockaid cùng các tổ chức kiểm toán độc lập tiến hành kiểm tra toàn diện về độ an toàn của hợp đồng. Gondi tuyên bố rằng tất cả các hoạt động khác của nền tảng — bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới, niêm yết và giao dịch NFT — đều có thể được khôi phục một cách an toàn.

Hành động bồi thường của Gondi: Chiến lược đền bù toàn diện

Việc bồi thường được tiến hành đồng bộ trên ba cấp độ:

Liên hệ với người dùng bị ảnh hưởng: Gondi đã chủ động liên hệ với tất cả các người dùng đã từng tương tác với hợp đồng có lỗ hổng để xác nhận phạm vi thiệt hại và mở ra kênh giao tiếp trực tiếp.
Thu hồi và hoàn trả NFT bị đánh cắp: Gondi đã theo dõi và phát hiện một số NFT bị đánh cắp đã bị người mua không biết chuyển nhượng, thành công thuyết phục các người mua này trả lại NFT cho chủ sở hữu ban đầu.
Mua lại các mặt hàng tương tự bằng phí hợp đồng: Đối với các NFT bị đánh cắp không thể thu hồi trực tiếp, Gondi bắt đầu sử dụng phí của hợp đồng để mua các “tương tự” trong các series 1/1-of-X nhằm đền bù cho người dùng bị ảnh hưởng. Gondi cho biết: “Dù không phải là cùng một vật phẩm hoàn toàn, nhưng chúng tôi tin rằng đây là một giải pháp công bằng và có ý nghĩa, và chúng tôi đang trực tiếp phối hợp với từng chủ sở hữu.” Đối với những người bị mất NFT 1/1 độc nhất vô nhị, Gondi cho biết đang tiến hành “thảo luận tích cực” với các bên liên quan để tìm kiếm các phương án đền bù cá nhân hóa.

Các câu hỏi thường gặp

Gondi là nền tảng gì, lỗ hổng này xảy ra như thế nào?
Gondi là một thị trường thanh khoản NFT phi tập trung, không quản lý, cho phép người dùng cầm cố NFT làm tài sản thế chấp vay vốn, cho vay hoặc tái cấp vốn. Lỗ hổng này xuất phát từ lỗi logic trong phiên bản hợp đồng “Sell & Repay” mới được triển khai vào ngày 20 tháng 2, chức năng mua gói không xác minh đúng danh tính người gọi, khiến kẻ tấn công có thể thực hiện chuyển NFT mà không cần sở hữu.

Những NFT nào đã bị đánh cắp trong lỗ hổng của Gondi?
Có tổng cộng 78 NFT đã bị chuyển đến địa chỉ của kẻ tấn công qua khoảng 40 giao dịch, bao gồm 44 token Art Blocks, 10 Doodles, 2 NFT trong bộ sưu tập “Spring Collection” của Beeple và nhiều thương hiệu NFT nổi tiếng khác, trong đó có một số tác phẩm nghệ thuật độc nhất 1/1 không thể thay thế, tổng thiệt hại khoảng 230.000 USD.

Hiện tại nền tảng Gondi có an toàn để sử dụng trở lại không?
Gondi cho biết, sau khi Blockaid và các tổ chức kiểm toán độc lập hoàn tất kiểm tra hợp đồng, ngoài việc tạm thời ngưng chức năng “Sell & Repay”, tất cả các hoạt động khác của nền tảng đều có thể được khôi phục một cách an toàn, bao gồm thanh toán khoản vay, đàm phán lại, tái cấp vốn, phát hành khoản vay mới và mua bán, giao dịch NFT.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bài viết liên quan

Người sáng lập DefiLlama: Arbitrum Ưu tiên sử dụng tiền bị tịch thu cho thị trường Aave có thể cắt giảm nợ xấu tới 80%

Tiến độ dự án Dữ liệu trên chuỗi

Tin tức Gate News, ngày 21 tháng 4 — Theo người sáng lập DefiLlama 0xngmi, nếu Arbitrum ưu tiên sử dụng các khoản tiền bị tịch thu để phục vụ thị trường Aave trên Arbitrum, nợ xấu có thể được giảm đáng kể. Trong kịch bản “loss socialization”, Arbitrum sẽ không phải đối mặt với bất kỳ khoản nợ xấu nào; nếu rsETH trên L2 rơi vào kịch bản không rủi ro, nợ xấu Aave của Arbitrum có thể giảm khoảng 80%, từ triệu đến triệu. Phân tích của 0xngmi cho thấy việc phân bổ chiến lược các khoản tiền bị tịch thu có thể giúp giảm đáng kể mức độ phơi nhiễm rủi ro tín dụng trong hệ sinh thái Arbitrum.

GateNews1giờ trước

MetaComp của Singapore Ra mắt Khung Tác Nhân AI cho Tuân Thủ Tài Chính và Thanh Toán

Tiến độ dự án Quan hệ đối tác và Hệ sinh thái Tác nhân AI Công cụ và ứng dụng AI

MetaComp ra mắt StableX Know Your Agent cho AI được quản lý trong thanh toán, kết hợp phân tích đa nhà cung cấp để cắt giảm tỷ lệ “sạch giả” nhằm giảm sai sót, với AgentX Skills hỗ trợ Claude; hướng tới tài chính xuyên biên giới có thể kiểm toán thông qua các AI Skills tải xuống. Tóm tắt: MetaComp giới thiệu khuôn khổ StableX Know Your Agent để quản trị các tác nhân AI trong thanh toán và quản lý tài sản được quản lý, bao gồm danh tính, quyền hạn, giám sát, kiểm toán và tương tác giữa các tác nhân với nhau. Nó giảm báo động sai nhờ phân tích song song từ nhiều nhà cung cấp và cho phép tài chính xuyên biên giới có thể kiểm toán thông qua các AI Skills tải xuống (AgentX), bắt đầu với hỗ trợ Claude và mở rộng trên khắp các khu vực.

GateNews1giờ trước

Qivalis 由 12 家欧洲银行组成的联盟推进欧元稳定币 H2 2026 上线

Tiến độ dự án Quan hệ đối tác và Hệ sinh thái

Qivalis，一家包含 BBVA 和 BNP Paribas 在内的 12 家银行欧洲联盟，正在推进一种计划于 2026 年下半年推出的欧元稳定币，并由 Fireblocks 负责发行与分发，同时在 MiCAR 框架下接受荷兰央行监管。摘要：Qivalis 欧元稳定币项目由 12 家欧洲银行和 Fireblocks 支持，目标为 2026 年下半年推出。在 MiCAR 下接受荷兰央行监管，旨在扩大机构市场中欧元计价稳定币的使用。

GateNews2giờ trước

OCBC Ra Mắt Quỹ Vàng Được Token Hóa GOLDX Trên Ethereum và Solana

ethereum news solana news Tiến độ dự án Quan hệ đối tác và Hệ sinh thái Kim loại

OCBC ra mắt GOLDX, một quỹ vàng vật lý được token hóa trên Ethereum và Solana, với Lion Global Investors và DigiFT; nhắm đến các tổ chức và người tham gia Web3; tài sản RWA được token hóa đạt $29B trên các chuỗi. OCBC, cùng với Lion Global Investors và DigiFT, đã giới thiệu GOLDX, phiên bản token hóa của LionGlobal Singapore Physical Gold Fund trên Ethereum và Solana. Sản phẩm nhắm đến nhà đầu tư tổ chức và cá nhân có giá trị ròng cao, cho phép mua bằng stablecoin hoặc tiền pháp định và giao hàng tới các ví blockchain, mang lại mức tiếp xúc trên chuỗi với khoảng $525 triệu tài sản vàng. OCBC coi GOLDX là một mốc quan trọng nhằm liên kết tài chính truyền thống với hệ sinh thái tài chính phi tập trung để thu hút người tham gia Web3. Bối cảnh rộng hơn cho thấy sự tăng trưởng nhanh của tài sản thế giới thực được token hóa, với RWA trên các blockchain công khai vượt $29 tỷ đô la vào giữa tháng 4 năm 2026, trong khi giá vàng giao dịch trong biên độ hẹp quanh mức $4,775–$4,831 mỗi ounce.

GateNews2giờ trước

Cập nhật sự kiện Aave rsETH: Core V3 WETH được giải đông, năm kho dự trữ lớn vẫn bị đóng băng

Tiến độ dự án Sự cố bảo mật

Aave đã công bố trên nền tảng X vào ngày 21 tháng 4 rằng dự trữ WETH trên thị trường Ethereum Core V3 đã được mở khóa và người dùng có thể tiếp tục cung cấp lại WETH cho Ethereum Core V3; tỷ lệ giá trị khoản vay WETH (LTV) vẫn giữ ở mức 0. Dự trữ WETH trên Ethereum Prime, Arbitrum, Base, Mantle và Linea vẫn đang tiếp tục bị đóng băng.

MarketWhisper3giờ trước

Ice Open Network bị nhân viên nội bộ rò rỉ dữ liệu, sau khi đồng token ION giảm mạnh đã tái cơ cấu để sinh tồn

Biến động giá Tiến độ dự án Sự kiện Token Sự cố bảo mật Rủi ro sàn giao dịch

Ice Open Network vào ngày 20 tháng 4 đã đăng bài trên X, xác nhận rằng sự cố rò rỉ dữ liệu xảy ra vào tuần trước. Nguyên nhân là sau khi 4 đối tác chấm dứt quan hệ kinh doanh với một nhà cung cấp dịch vụ bên thứ ba, họ vẫn tiếp tục truy cập vào máy chủ bên ngoài, dẫn đến việc rò rỉ địa chỉ email của người dùng, số điện thoại 2FA và dữ liệu liên kết danh tính. Bối cảnh của sự việc này là: token ION đã giảm mạnh 93% chỉ cách đây hai tuần, và nhóm dự án đang trong giai đoạn tái cơ cấu khẩn cấp quy mô lớn.

MarketWhisper4giờ trước

Bình luận

0/400

Không có bình luận