Die NFT-Lending-Plattform Gondi hat einen Sicherheits-Exploit eingedämmt, der es einem Angreifer ermöglichte, Dutzende NFTs von mehreren Nutzern zu entwenden, wobei die Gesamtschäden laut Blockaid auf etwa 230.000 US-Dollar geschätzt werden. Der Vorfall entstand durch eine neu bereitgestellte Version des Sell-&-Repay-Contracts von Gondi, der Teil des Lending-Systems der Plattform ist.
🚨 Community Alert
— Blockaid (@blockaid_) March 9, 2026
Blockaid's exploit detection system has detected a $230K exploit on the @gondixyz protocol on Ethereum.
Around 40 NFTs were stolen, and the exploiter has started selling them. More info in 🧵 pic.twitter.com/Sxnal7mjaq
Die Sell-&-Repay-Funktion erlaubt es Kreditnehmern, NFTs, die als Sicherheit hinterlegt sind, zu verkaufen, während gleichzeitig das zugehörige Darlehen automatisch in einer einzigen gebündelten Transaktion zurückgezahlt wird. Die am 20. Februar bereitgestellte Contract-Version führte jedoch einen Logikfehler in der Funktion „Purchase Bundler“ ein. Diese Funktion überprüfte nicht, ob der Aufrufer der rechtmäßige Besitzer oder ein autorisierter Kreditnehmer des NFTs war. Dieses Versäumnis ermöglichte es dem Angreifer, Transfers auszulösen und Vermögenswerte von mehreren Nutzern abzuziehen.
✅ UPDATE: Exploit Contained
— GONDI (@gondixyz) March 9, 2026
We can now confirm the situation is fully contained and no further NFTs are at risk.
What our investigation found:
• A limited number of NFTs were affected
• The exploit was isolated to the Sell & Repay contract deployed on February 20
• All…
Umfang des Exploits
Blockchain-Daten von Etherscan zeigen, dass 78 NFTs über ungefähr 40 Transaktionen an eine Wallet transferiert wurden, die inzwischen als „GONDI Exploiter“ gekennzeichnet ist. Zu den gestohlenen Assets gehören unter anderem:
- 44 Art Blocks Tokens
- 10 Doodles
- 2 Beeple „Spring Collection“ NFTs
- mehrere weitere hochwertige und einzigartige 1/1-Kunstwerke
Die Gesamtzahl der betroffenen Nutzer wurde bislang nicht veröffentlicht.
Gondi bestätigte, dass NFTs, die mit aktiven Krediten verbunden sind, zu keinem Zeitpunkt gefährdet waren. Der Exploit zielte speziell auf die gebündelte Sell-and-Repay-Funktion, während andere Marktplatz-Operationen unberührt blieben.
„Die Sell-&-Repay-Funktion bleibt deaktiviert, während wir einen Fix implementieren. Alle anderen Funktionen sind vollständig betriebsbereit“, erklärte Gondi in einem Plattform-Update.
Entschädigungsmaßnahmen laufen
Gondi hat einen dreistufigen Ansatz gestartet, um verlorene Assets wiederherzustellen und betroffene Nutzer zu entschädigen.
- Kontaktaufnahme mit betroffenen Nutzern: Das Team kontaktierte direkt Wallets, die mit dem verwundbaren Contract interagiert haben.
- Wiederbeschaffung gestohlener NFTs: Einige der gestohlenen Tokens wurden von Käufern erworben, die nichts von dem Exploit wussten. Gondi konnte bereits erfolgreich Rückgaben dieser NFTs an ihre ursprünglichen Besitzer koordinieren.
- Rückkauf vergleichbarer NFTs: Für NFTs, die nicht wiederhergestellt werden können, verwendet das Protokoll gesammelte Gebühren, um ähnliche Stücke aus 1/1-of-X-Kollektionen zu erwerben.
„Auch wenn es nicht exakt dasselbe Kunstwerk ist, glauben wir, dass dies eine faire und sinnvolle Lösung ist, und wir koordinieren direkt mit jedem Besitzer“, schrieb das Team.
Gondi befindet sich außerdem in aktiven Gesprächen mit Nutzern, die einzigartige One-of-One-NFTs verloren haben, um alternative Entschädigungslösungen zu entwickeln.
Die Sicherheitsfirma Blockaid sowie ein unabhängiger Auditor überprüften das Protokoll nach dem Vorfall. Die Plattform betonte, dass alle anderen Funktionen sicher wieder genutzt werden können, darunter Kaufen, Verkaufen, Listen, Bieten, Handeln, Refinanzieren von Krediten sowie das Starten neuer Kredite.
Lehren für NFT-Lending-Plattformen
Die Erfahrung von Gondi verdeutlicht die inhärenten Risiken komplexer Smart-Contract-Logik in NFT-Lending-Protokollen. Gebündelte Transaktionen, die Verkauf von Sicherheiten und Kreditrückzahlung kombinieren, können Schwachstellen schaffen, wenn Eigentumsprüfungen oder Autorisierungs-Checks fehlschlagen.
Aktive Entschädigungsstrategien können helfen, das Vertrauen der Nutzer nach Exploits aufrechtzuerhalten, beseitigen jedoch selten den Reputationsschaden vollständig. Gondis schnelle Reaktion, kombiniert mit gezielter Wiedergutmachung und unabhängiger Prüfung, setzt einen Standard für operative Resilienz im dezentralen NFT-Finanzsektor.
Die Plattform überwacht weiterhin Wallet-Aktivitäten und koordiniert sich mit betroffenen Nutzern, was ihr Engagement für Transparenz zeigt und gleichzeitig die Bedeutung strenger Contract-Audits im NFT-Lending-Ökosystem unterstreicht.
HODL Team
Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.
