Gondi NFT 平台確認遭遇23萬美元合約漏洞，正著手讓用戶恢復損失

NFT借貸協議Gondi遭遇漏洞，導致多名用戶約78個NFT被盜，價值約23萬美元，源於2026年2月20日部署的有缺陷的智能合約升級。

團隊已停用易受攻擊的“出售與還款”功能，同時確認平台其他功能仍然安全，並正積極通過直接賠償、資產追回和協議費用補償來彌補受影響的用戶。

漏洞詳情與技術原因

易受攻擊的合約升級

此次攻擊與Gondi新部署的“出售與還款”合約版本有關，該合約是平台NFT借貸協議的一部分，允許借款人在一筆交易中出售抵押NFT並自動償還貸款。該合約於2026年2月20日部署。

安全公司Blockaid指出，合約中的“購買捆綁器”功能引入了錯誤邏輯，未能正確驗證調用者是否為涉及交易的NFT的合法所有者或借款人。這一疏漏使攻擊者能觸發未經授權的轉移，並從多個用戶處提取資產。

攻擊範圍

根據Etherscan數據，約78個NFT在大約40筆交易中被盜，並轉移到一個現被標記為“GONDI Exploiter”的錢包。被盜資產包括44個Art Blocks代幣、10個Doodles、兩個來自Beeple的“春季系列”NFT，以及其他知名收藏的珍貴作品。

NFT收藏家tinoch估計，單一受影響用戶就損失約55 ETH，當時價值約10.8萬美元。受害者總數尚未公開，但多個錢包受到影響。

平台反應與修復措施

立即行動

Gondi在發現問題後迅速停用受影響的“出售與還款”功能。團隊表示，該功能仍處於離線狀態，修復方案正在部署和驗證中。其他所有平台功能，包括買賣、上架、出價、交易、再融資和啟動新貸款，均已確認完全正常運作且安全。

協議強調，與活躍貸款相關聯的NFT在事件期間從未處於危險之中。此次漏洞僅限於負責捆綁銷售與還款的特定合約功能，未影響市場的其他部分。

安全審查

自攻擊事件發生以來，安全公司Blockaid和獨立審計員已對協議進行審查。Gondi撤回了早前警告用戶不要與平台互動的聲明，確認整個協議未受影響，所有活動均可安全恢復。

用戶賠償措施

直接賠償

Gondi已開始與受影響用戶直接合作，恢復遺失資產或在無法追回時提供補償。團隊已聯繫與漏洞合約互動的錢包，啟動賠償流程。

在多個案例中，團隊追蹤到被購買的NFT，這些NFT的買家顯然未意識到這些代幣來自於此次攻擊。這些NFT正盡可能歸還給原所有者。

補償機制

協議已開始利用收取的平台費用購買“類似收藏品”來彌補受影響用戶的損失，當無法追回相同NFT時。團隊表示：“雖然不是完全相同的作品，但我們認為這是一個公平且有意義的解決方案，並正與每位所有者直接協調。”

對於無法輕易替代的獨一無二NFT，Gondi表示正與受影響的收藏家積極討論其他解決方案。

平台背景與風險概況

Gondi的借貸模型

Gondi作為一個去中心化的非托管NFT流動性市場和借貸協議，允許用戶將NFT作為抵押品借款、出借資產賺取利息，以及再融資NFT頭寸。平台讓借款人能在不出售數字資產的情況下獲取流動性。

“出售與還款”功能尤其增加了操作的複雜性，因為它將多個動作捆綁在一個交易中——同時出售抵押品和償還貸款。當所有權驗證步驟失敗時，攻擊者便能利用這一自動化漏洞。

智能合約風險

像Gondi這樣的系統需要複雜的智能合約來協調抵押品管理、貸款發放、還款和資產轉移。即使是微小的邏輯錯誤，也可能為攻擊者提供漏洞，凸顯NFT借貸平台的高風險特性，尤其是在合約升級涉及資產所有權檢查或交易授權邏輯時。

常見問題：Gondi漏洞

問：Gondi的漏洞原因是什麼？
答：該漏洞源於2026年2月20日對“出售與還款”合約的升級中引入的錯誤邏輯。“購買捆綁器”功能未能正確驗證調用者是否為NFT的合法所有者或借款人，導致攻擊者能觸發未經授權的轉移，約78個NFT價值23萬美元被盜。

問：損失了多少，誰受到影響？
答：約78個NFT在40筆交易中被盜，包括Art Blocks、Doodles和Beeple系列的資產。一名受影響用戶損失約55 ETH，價值約10.8萬美元。受害者總數未公開，但多個錢包受到影響。

問：Gondi如何賠償受害者？
答：Gondi正直接賠償受影響用戶，追蹤並歸還被盜NFT（特別是那些買家未意識到NFT來自漏洞的情況），並利用協議費用購買類似收藏品來彌補無法追回的NFT損失。對於獨一無二的NFT，仍在與受影響收藏家討論其他解決方案。

問：Gondi平台現在安全嗎？
答：受影響的“出售與還款”功能仍處於停用狀態，等待修復，但其他所有平台功能，包括買賣、上架、出價、交易和貸款活動，已確認安全可恢復。安全公司Blockaid和獨立審計員已對協議進行審查。