Le protocole de prêt NFT Gondi a annoncé le 9 mars qu’il prenait activement des mesures pour indemniser les utilisateurs ayant subi des pertes en raison d’une faille dans le contrat intelligent. Selon l’estimation de la société de sécurité Blockaid, les attaquants ont exploité cette vulnérabilité pour dérober environ 78 NFT auprès de plusieurs victimes, pour une perte estimée à environ 230 000 dollars. Gondi indique qu’à l’exception du nouveau contrat « Sell & Repay » présentant une faille logique, toutes les autres fonctionnalités de la plateforme ont été restaurées.
Analyse du mécanisme de la faille : la faille clé dans la logique du contrat Sell & Repay
« Sell & Repay » est l’une des fonctions centrales du protocole de prêt NFT Gondi, permettant à un emprunteur de vendre dans une seule transaction groupée un NFT mis en garantie, tout en remboursant automatiquement le prêt. La dernière version du contrat déployée le 20 février a introduit une erreur logique dans la fonction « Purchase Bundler », qui n’a pas correctement vérifié si l’appelant du contrat était le propriétaire légitime du NFT ou un prêteur autorisé, permettant ainsi aux attaquants de contourner la vérification de propriété et de déclencher une opération de transfert sans détenir le NFT.
Le collectionneur de NFT tinoch estime qu’un potentiel victime aurait subi une perte d’environ 55 ETH, soit environ 108 000 dollars au prix du marché au moment de l’observation. Gondi souligne que l’impact de cette faille est limité, et que les NFT en prêt actif n’ont jamais été affectés à aucun moment.
Liste des NFT volés : des séries renommées touchées
Selon les données d’Etherscan, les 78 NFT transférés comprennent plusieurs séries célèbres :
- Tokens Art Blocks : 44, représentant la majorité des NFT volés
- Doodles : 10
- Beeple « Spring Collection » : 2
- Autres : plusieurs marques de NFT de valeur et des œuvres d’art uniques 1/1 irremplaçables
Après l’incident, Gondi a rapidement suspendu la fonction « Sell & Repay » et a invité Blockaid ainsi qu’une organisation d’audit indépendante à effectuer une revue complète de la sécurité du protocole. Gondi déclare que toutes les autres activités de la plateforme — y compris le remboursement de prêts, la renégociation, le refinancement, l’émission de nouveaux prêts, la mise en vente et la transaction de NFT — peuvent être restaurées en toute sécurité.
Actions de compensation de Gondi : une stratégie de réparation en trois volets
Les efforts de compensation avancent simultanément sur trois niveaux :
-
Contacter les utilisateurs affectés : Gondi a pris l’initiative de contacter tous les utilisateurs ayant interagi avec le contrat vulnérable, pour confirmer l’étendue des pertes et ouvrir un canal de communication direct.
-
Récupérer et restituer les NFT volés : Gondi a identifié que certains NFT dérobés ont été transférés à des acheteurs inconscients, et a réussi à convaincre ces acheteurs de restituer les NFT à leurs propriétaires originaux.
-
Racheter des objets similaires avec les frais du protocole : pour les NFT volés qui ne peuvent pas être récupérés directement, Gondi utilise une partie des frais du protocole pour acheter des « objets similaires » issus de séries 1/1 ou X/1 afin de compenser les utilisateurs affectés. Gondi déclare : « Bien que ce ne soient pas exactement les mêmes objets, nous pensons que c’est une solution équitable et significative, et nous coordonnons directement avec chaque propriétaire. » Pour les victimes ayant perdu un NFT unique 1/1, Gondi indique qu’elle mène des « négociations actives » avec les parties concernées pour élaborer une solution de compensation personnalisée.
FAQ
Q : Qu’est-ce que Gondi et comment cette faille s’est-elle produite ?
Gondi est un marché décentralisé de liquidité NFT et un protocole de prêt non custodial, permettant aux utilisateurs de mettre en garantie leurs NFT pour emprunter, gagner des intérêts ou refinancer. La faille provient de la nouvelle version du contrat « Sell & Repay » déployée le 20 février, dont la logique comportait une erreur. La fonction « Purchase Bundler » ne vérifiait pas correctement l’identité de l’appelant, permettant à un attaquant de déclencher un transfert sans détenir le NFT.
Q : Quels NFT ont été volés lors de cette faille sur Gondi ?
Au total, 78 NFT ont été transférés vers l’adresse de l’attaquant via environ 40 transactions, comprenant 44 tokens Art Blocks, 10 Doodles, 2 Beeple « Spring Collection » et plusieurs autres marques renommées. Certains sont des œuvres d’art uniques 1/1 irremplaçables. La perte totale est estimée à environ 230 000 dollars.
Q : La plateforme Gondi est-elle actuellement sécurisée et opérationnelle ?
Gondi indique qu’après l’audit complet par Blockaid et une organisation indépendante, toutes les activités autres que la fonction « Sell & Repay » — qui reste désactivée — peuvent reprendre en toute sécurité, y compris le remboursement de prêts, la renégociation, le refinancement, l’émission de nouveaux prêts, ainsi que l’achat, la vente et l’échange de NFT.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Aave, Kelp, LayerZero cherchent à débloquer $71M ETH gelé sur Arbitrum
Une coalition de principaux protocoles DeFi a déposé un Constitutional AIP sur le forum d’Arbitrum samedi matin, demandant au DAO du réseau de débloquer environ $71 million d’ETH gelés afin de soutenir DeFi United, un effort d’aide trans-protocoles organisé à la suite de l’exploit du $292 million du Kelp DAO. Aave Labs l
CryptoFrontierIl y a 3h
La percée de XRP se maintient alors que le vote sur le prêt sur XRPL prend de l’élan
Points clés
XRP maintient une solidité hebdomadaire au-dessus des principales crypto-monnaies tandis que le prix reste au-dessus des EMA clés, reflétant une dynamique durable malgré de légères baisses quotidiennes pendant les séances de négociation.
Les validateurs de XRPL font avancer les mises à niveau de prêts via XLS-65 et XLS-66, introduisant des coffres de liquidité mutualisée et f
CryptoNewsLandIl y a 3h
La cassure de XRP se maintient tandis que le vote de prêt sur XRPL prend de l’ampleur
XRP affiche une force hebdomadaire, en négociant au-dessus des moyennes mobiles exponentielles (EMA) après avoir rompu une figure en coin descendant ; XRPL progresse avec les mises à niveau de prêts XLS-65/66, avec des vaults (coffres) mutualisés et des prêts à terme fixe ; les produits dérivés augmentent en volume, intérêt ouvert et activité sur les options.
Résumé : Ce rapport note la dynamique hebdomadaire persistante et la solidité des prix de XRP au-dessus des moyennes mobiles clés après une cassure depuis un coin descendant. Il couvre les validateurs XRPL votant sur XLS-65 et XLS-66, permettant des prêts natifs, des coffres de liquidité mutualisée et des prêts à terme fixe afin d’étendre l’activité financière on-chain. Il rapporte également une participation croissante aux produits dérivés, avec un volume de trading plus élevé, un intérêt ouvert en hausse, et un bond de l’activité sur les options, suggérant un positionnement croissant des traders en vue d’une poursuite de la cassure.
CryptoNewsLandIl y a 3h
Charles Hoskinson lance Midnight avec $250M en dépôts tokenisés provenant de Monument Bank
Message de Gate News, 25 avril — Charles Hoskinson, fondateur de Cardano, a lancé Midnight, un projet de blockchain axé sur la confidentialité, avec environ $250 millions de dépôts tokenisés de Monument Bank. Le partenariat représente une collaboration institutionnelle significative visant à intégrer la technologie blockchain avec des systèmes financiers réglementés.
GateNewsIl y a 7h
Rapport sur les tendances des ETF de JPMorgan : APIisation, 83 % gérés activement, et tokenisation répartie en deux voies : synthétique et native
Le rapport de JPMorgan indique trois grandes tendances : 1) le trading automatisé via les API d’AP représente environ 50 % du flux de marché de niveau 1 ; 2) en 2025, les ETF à gestion active représentent 83 % des nouvelles émissions, avec une attente de devenir la norme en 2026-27 ; 3) la tokenisation se décline en deux voies : la tokenisation synthétique (qui réplique les prix via des dérivés) et la tokenisation native (émise sur la blockchain). Le rapport souligne l’utilisation d’outils comme Athena pour améliorer la transparence et la gouvernance, et observe le calendrier de suivi et la commercialisation officielle à venir.
ChainNewsAbmediaIl y a 7h
Le responsable produit de Drift, Minh Don, prévoit une relance de l’échange dérivé en mai ou juin
Message de Gate News, 25 avril — Le responsable produit de Drift Protocol, Minh Don, a annoncé des projets visant à relancer l’échange dérivé en mai ou juin, selon une déclaration faite sur le serveur Discord officiel. L’équipe va passer plusieurs semaines à optimiser la base de code, en supprimant et ajoutant des fonctionnalités qui, bien que modestes, devraient avoir un impact significatif.
GateNewsIl y a 8h
