Perjanjian pinjaman NFT Gondi mengumumkan pada 9 Maret bahwa mereka sedang mengambil langkah aktif untuk mengompensasi pengguna yang mengalami kerugian akibat celah pada kontrak pintar. Menurut perkiraan perusahaan keamanan Blockaid, penyerang memanfaatkan celah tersebut untuk mencuri sekitar 78 NFT dari beberapa korban, dengan kerugian diperkirakan sekitar 230.000 dolar AS. Gondi menyatakan bahwa selain kekurangan logika pada kontrak versi terbaru “Sell & Repay”, semua fungsi lain di platform telah dipulihkan.
Analisis Mekanisme Celah: Kekurangan Logika Kunci pada Kontrak Sell & Repay
“Sell & Repay” adalah salah satu fungsi inti dari perjanjian pinjaman NFT Gondi, yang memungkinkan peminjam menjual NFT yang dijaminkan secara bersamaan dalam satu transaksi bundel dan secara otomatis melunasi pinjaman. Versi kontrak terbaru yang diluncurkan pada 20 Februari memperkenalkan logika yang salah pada fitur “Purchase Bundler”, yang gagal memverifikasi secara benar apakah pemanggil kontrak adalah pemilik sah NFT atau pemberi izin pinjaman, sehingga penyerang dapat melewati pemeriksaan kepemilikan dan memicu transfer tanpa memiliki NFT.
Kolektor NFT tinoch memperkirakan bahwa kerugian dari satu korban potensial mencapai sekitar 55 ETH, yang saat itu bernilai sekitar 108.000 dolar AS berdasarkan harga pasar. Gondi menegaskan bahwa dampak dari celah ini terbatas, dan NFT yang sedang aktif dipinjamkan “tidak pernah terpengaruh kapan pun.”
Daftar NFT yang Dicuri: Seri Terkenal yang Terdampak
Berdasarkan data dari Etherscan, 78 NFT yang dipindahkan mencakup beberapa seri terkenal:
- Token Art Blocks: 44 buah, merupakan bagian terbesar dari NFT yang dicuri
- Doodles: 10 buah
- Beeple “Spring Collection”: 2 buah
- Lainnya: beberapa merek NFT bernilai tinggi dan karya seni unik 1/1 yang sulit digantikan
Setelah kejadian, Gondi dengan cepat menangguhkan fungsi “Sell & Repay” dan mengundang Blockaid serta lembaga audit independen untuk melakukan pemeriksaan keamanan menyeluruh terhadap seluruh perjanjian. Gondi menyatakan bahwa semua aktivitas platform lainnya—termasuk pelunasan pinjaman, negosiasi ulang, pembiayaan ulang, penerbitan pinjaman baru, serta penjualan dan perdagangan NFT—dapat dipulihkan dengan aman.
Langkah Kompensasi Gondi: Strategi Tiga Pilar dalam Memberikan Ganti Rugi
Proses kompensasi dilakukan secara simultan dari tiga aspek:
-
Menghubungi Pengguna yang Terkena Dampak: Gondi secara aktif menghubungi semua pengguna yang pernah berinteraksi dengan kontrak celah tersebut, memastikan cakupan kerugian dan membuka jalur komunikasi langsung.
-
Menelusuri dan Mengembalikan NFT yang Dicuri: Gondi melacak bahwa sebagian NFT yang dicuri telah dipindahtangankan oleh pembeli yang tidak menyadari, dan berhasil meyakinkan mereka untuk mengembalikan NFT tersebut ke pemilik asli.
-
Pembelian Kembali Barang Serupa dengan Biaya Perjanjian: Untuk NFT yang tidak dapat langsung dikembalikan, Gondi mulai menggunakan biaya dari perjanjian untuk membeli “barang serupa” dari seri 1/1-of-X sebagai bentuk kompensasi kepada pengguna yang terdampak. Gondi menyatakan, “Meskipun barang tersebut tidak identik, kami percaya ini adalah solusi yang adil dan bermakna, dan kami sedang berkoordinasi langsung dengan setiap pemilik.” Untuk korban yang kehilangan NFT unik 1/1, Gondi menyatakan sedang melakukan “negosiasi aktif” dengan pihak terkait untuk mencari solusi kompensasi yang personal.
Pertanyaan Umum
Gondi itu apa platformnya, dan bagaimana celah ini bisa terjadi?
Gondi adalah pasar likuiditas NFT terdesentralisasi dan perjanjian pinjaman yang tidak disimpan secara custodial, yang memungkinkan pengguna menjaminkan NFT sebagai agunan pinjaman, meminjamkan aset untuk mendapatkan bunga, atau melakukan pembiayaan ulang. Celah ini berasal dari kekeliruan logika pada versi terbaru kontrak “Sell & Repay” yang diluncurkan 20 Februari, di mana fitur pembeli bundel gagal memverifikasi identitas pemanggil secara benar, sehingga penyerang dapat memicu transfer tanpa memiliki NFT.
NFT apa saja yang dicuri dalam celah Gondi ini?
Sebanyak 78 NFT dipindahkan melalui sekitar 40 transaksi ke alamat penyerang, termasuk 44 token Art Blocks, 10 Doodles, 2 dari koleksi “Spring” milik Beeple, dan beberapa merek NFT terkenal lainnya, beberapa di antaranya adalah karya seni unik 1/1 yang sulit digantikan, dengan total kerugian sekitar 230.000 dolar AS.
Apakah platform Gondi saat ini sudah aman dan bisa digunakan kembali?
Gondi menyatakan bahwa setelah penyelesaian audit oleh Blockaid dan lembaga audit independen, selain fungsi “Sell & Repay” yang masih dinonaktifkan, semua aktivitas platform lainnya dapat dipulihkan dengan aman, termasuk pelunasan pinjaman, negosiasi ulang, pembiayaan ulang, penerbitan pinjaman baru, serta jual beli dan transaksi NFT.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Curve Finance Menghentikan Infrastruktur LayerZero setelah Peretasan rsETH
Curve Finance untuk sementara menghentikan infrastruktur LayerZero-nya karena insiden keamanan yang melibatkan rsETH. Protokol sedang menyelidiki masalah tersebut, sehingga berdampak pada beberapa operasi penyeberangan lintas rantai (cross-chain bridging) sementara yang lain berjalan seperti biasa.
GateNews8jam yang lalu
Pendiri Monad Menyarankan Dynamic Caps pada Setoran Jaminan untuk Mengurangi Risiko Peretasan
Keone Hon menyarankan bahwa protokol pinjaman terpooling harus menerapkan batas laju bertahap pada peningkatan aset jaminan untuk mengurangi risiko selama terjadi peretasan. Ia berpendapat hal ini bisa telah mencegah kerugian besar, sebagaimana terlihat pada pendeposit rsETH.
GateNews14jam yang lalu
SGB Meluncurkan Layanan Mint USDC di Jaringan Solana
SGB memungkinkan pembuatan (mint) dan penebusan (redemption) USDC secara instan di Solana, meningkatkan pembayaran lintas batas dengan penyelesaian real-time.
Layanan ini menargetkan institusi, menghilangkan perantara, serta mendukung likuiditas dan manajemen treasury 24/7.
Rencana ekspansi mencakup lebih banyak stablecoin dan akses ritel, li
CryptoFrontNews15jam yang lalu
Morpho Menjeda Jembatan Cross-Chain MORPHO OFT di Arbitrum Setelah Kejadian Kelp DAO dan LayerZero
Asosiasi Morpho telah menangguhkan sementara jembatan cross-chain OFT untuk token MORPHO di Arbitrum karena masalah terbaru terkait Kelp DAO dan LayerZero Bridge, menunggu konfirmasi penyebab insiden rsETH.
GateNews15jam yang lalu
Penghapusan pencatatan rsETH oleh Spark Protocol pada Januari membuktikan keputusan yang tepat saat Aave menghadapi krisis likuiditas ETH
Strategi Spark Protocol untuk menghapus pencatatan aset dengan penggunaan rendah dan memperketat jaminan sempat mendapat respons awal yang negatif, tetapi terbukti bijak saat terjadi gejolak pasar. Sambil mempertahankan batas suku bunga yang lebih tinggi, SparkLend memastikan likuiditas, tidak seperti Aave, yang kini menghadapi risiko signifikan.
GateNews18jam yang lalu
Kamino Menghentikan Interaksi Aset Terkait LayerZero, Menutup Fungsi Setoran dan Pinjaman
Kamino untuk sementara menangguhkan interaksi dengan token terkait LayerZero sebagai tindakan kehati-hatian, sambil tetap mengizinkan penarikan dan pembayaran utang. Mereka menekankan bahwa langkah ini untuk manajemen risiko dan bahwa dana pengguna aman.
GateNews20jam yang lalu
