Gondis 230.000 $ NFT-Lending-Exploit: Wie ein fehlender Caller-Check 78 Blue-Chip-NFTs entwendete

18. März 2026 · 8 Min. Lesezeit

Software Engineer

Eine einzige fehlende Autorisierungsprüfung. Siebzehn Tage lang unentdeckt. Achtundsiebzig Blue-Chip-NFTs – darunter Art Blocks, Doodles und Beeple-Werke – wurden aus Wallets abgezogen, die nie eine Transaktion initiiert hatten. Der Gondi-Exploit vom 9. März 2026 ist ein Paradebeispiel dafür, wie „Komfortfunktionen“ zu Angriffsflächen werden können und warum der NFT-Lending-Sektor vor Sicherheitsherausforderungen steht, mit denen das DeFi für fungible Token nie konfrontiert war.

Was ist Gondi und warum es wichtig ist

Gondi ist ein dezentrales Peer-to-Peer-NFT-Lending-Protokoll, das es Nutzern ermöglicht, WETH, USDC oder HYPE gegen ihre NFT-Sicherheiten zu leihen – ohne Oracles, ohne erzwungene Liquidationen und mit zeitanteiligen Zinsen. Mit einem Gesamtwert von über 100 Millionen $(Total Value Locked), 45 Millionen$ an ausstehenden Schulden und einem jährlichen Kreditvolumen von über 400 Millionen $ in mehr als 150 unterstützten Kollektionen hatte sich Gondi als einer der größten NFT-Liquiditätsmarktplätze in diesem Bereich etabliert.

Das Protokoll führte Innovationen wie sofortige Teilrefinanzierung, kontinuierliches Underwriting und Multi-Tranchen-Lending ein. Eine seiner Komfortfunktionen, „Sell & Repay“, ermöglichte es Kreditnehmern, hinterlegte NFTs zu verkaufen und Kredite automatisch in einer einzigen gebündelten Transaktion zurückzuzahlen – was Reibungsverluste und Gas-Kosten reduzierte.

Genau diese Komfortfunktion wurde zum Angriffsvektor.

Anatomie des Exploits

Der verwundbare Contract

Am 20. Februar 2026 stellte Gondi eine aktualisierte Version seines Sell & Repay-Contracts bereit. Die neue Version enthielt eine „Purchase Bundler“-Funktion, die für Batch-Operationen konzipiert war. Doch die Funktion enthielt einen kritischen Fehler: Sie prüfte nicht ordnungsgemäß, ob der Aufrufer (msg.sender) der rechtmäßige Eigentümer oder Kreditnehmer der transaktionierten NFTs war.

Wie sich der Angriff abspielte

Am 9. März – siebzehn Tage nach der Bereitstellung – entdeckte und nutzte ein Angreifer diese Lücke aus:

Reconnaissance (Erkundung): Der Angreifer scannte öffentliche Blockchain-Daten nach Wallets, die dem verwundbaren Gondi-Contract aktive Token-Approvals erteilt hatten.
Manipulierte Aufrufe: Mit der eigenen Wallet rief der Angreifer die Purchase Bundler-Funktion mit fingierten executionData auf, die die Details der Ziel-NFTs enthielten.
Umgangene Autorisierung: Da der Contract nie prüfte, ob der Aufrufer der rechtmäßige Eigentümer war, behandelte er jeden Aufruf als legitim.
Abzug über Approvals: Der Contract nutzte bestehende Nutzer-Freigaben (Approvals), um NFTs aus den Wallets der Opfer zu transferieren – ohne dass die Opfer jemals eine neue Transaktion unterzeichneten.

In etwa 40 Transaktionen entleerte der Angreifer 78 NFTs an eine Adresse, die auf Etherscan nun als „GONDI Exploiter“ gekennzeichnet ist.

Was gestohlen wurde

Die Beute umfasste einige der bekanntesten Kollektionen im NFT-Ökosystem:

44 Art Blocks-Token – generative Kunstwerke aus einer der prestigeträchtigsten Kollektionen von Ethereum
10 Doodles – Blue-Chip-PFP-Kollektion mit starker Community-Unterstützung
2 Beeple „Spring Collection“-Stücke – von dem Künstler, dessen 69-Millionen-Dollar-Verkauf bei Christie's den NFT-Boom auslöste
über 22 zusätzliche NFTs von SuperRare und anderen hochwertigen Kollektionen

Der NFT-Sammler tinoch schätzte, dass ein einzelnes Opfer (Wallet 0x8d1...47051) etwa 55 ETH verlor – rund 108.000 $ – was fast die Hälfte des gesamten Exploit-Werts ausmachte.

Warum bestehende Audits es übersahen

Die Schwachstelle lag nicht in Gondis Kern-Lending-Logik, die geprüft und praxiserprobt war. Sie befand sich in einer peripheren „Komfort“-Funktion – dem Purchase Bundler –, die Teil eines neu bereitgestellten Contracts war. Standard-Audit-Umfänge konzentrieren sich in der Regel auf die Kernmechanismen des Protokolls: Sicherheitenverwaltung, Liquidationslogik, Zinsberechnungen. Periphere Funktionen, die nach der ursprünglichen Bereitstellung hinzugefügt werden, erhalten oft weniger Aufmerksamkeit, was blinde Flecken schafft, auf die es Angreifer gezielt abgesehen haben.

Dieses Muster ist erschreckend verbreitet. Laut Sicherheitsdaten aus den Jahren 2024-2025 machten Schwachstellen in der Zugriffskontrolle dokumentierte Schäden in Höhe von 953,2 Millionen $ aus. Fehler in der Geschäftslogik – genau die Kategorie, in die Gondis Bug fällt – sind auf den zweiten Platz im OWASP-Ranking für Smart-Contract-Schwachstellen gestiegen, was die zunehmende Komplexität von DeFi widerspiegelt.

Gondis Reaktion: Eine Fallstudie im Krisenmanagement

Gondis Reaktion nach dem Exploit war bemerkenswert schnell und transparent und setzte einen Maßstab dafür, wie Protokolle mit Sicherheitsvorfällen umgehen sollten.

Sofortmaßnahmen

Identifizierung und Deaktivierung des verwundbaren Sell & Repay-Contracts innerhalb weniger Stunden
Bestätigung, dass aktive Kreditsicherheiten nicht betroffen waren – nur ungenutzte NFTs (solche, die sich derzeit nicht in aktiven Krediten befanden) waren gefährdet
Wiederaufnahme der meisten Plattform-Operationen am folgenden Tag nach Notfall-Audits durch Blockaid und unabhängige Prüfer

Entschädigungsstrategie

Anstatt lediglich eine Entschädigung in ETH anzubieten, wählte Gondi einen differenzierteren Ansatz:

Direkte Wiederbeschaffung: Das Team verfolgte gestohlene NFTs über Sekundärmärkte und identifizierte Käufer, denen anscheinend nicht bewusst war, dass die Vermögenswerte aus dem Exploit stammten. Diese Artikel werden an die ursprünglichen Eigentümer zurückgegeben.
Vergleichbarer Ersatz: Für NFTs, die nicht direkt zurückgewonnen werden konnten, begann Gondi, Protokollgebühren zu verwenden, um „vergleichbare Artikel“ aus denselben Kollektionen zu erwerben. Wie das Team erklärte: „Obwohl es nicht genau dasselbe Stück ist, glauben wir, dass dies eine faire und bedeutungsvolle Lösung ist.“
Individuelle Koordination: Das Team setzte sich direkt mit jedem Nutzer in Verbindung, der mit dem verwundbaren Contract interagiert hatte, unabhängig davon, ob er betroffen war.

Dieser Ansatz trägt der Einzigartigkeit von NFTs Rechnung: Im Gegensatz zu fungiblen Token hat jedes Stück unterschiedliche Merkmale. Die Rückgabe des „Gegenwerts“ in ETH würde einen Sammler nicht entschädigen, wenn er ein spezifisches generatives Kunstwerk von Art Blocks oder einen bestimmten Doodle verloren hat.

Lehren für das NFT-Lending-Ökosystem

1. Approval-Hygiene ist nicht verhandelbar

Der Exploit war nur möglich, weil Nutzer aktive Token-Approvals für den anfälligen Kontrakt hatten. Dies ist ein systemisches Problem in DeFi- und NFT-Plattformen: Nutzer erteilen Smart Contracts routinemäßig unbegrenzte Approvals und widerrufen diese nie.

Für Nutzer: Überprüfen und widerrufen Sie regelmäßig unnötige Token-Approvals mit Tools wie Revoke.cash oder dem Token-Approval-Checker von Etherscan. Beschränken Sie Approvals auf den erforderlichen Mindestbetrag und die nötige Dauer.

2. Peripheriefunktionen benötigen Audits auf Core-Niveau

Der „Sell & Repay Purchase Bundler“ war ein Komfort-Feature, keine Kernlogik des Lendings. Er hatte jedoch Zugriff auf dieselben Nutzer-Approvals und Kontraktberechtigungen. Jede Funktion, die Nutzer-Assets bewegen kann – unabhängig davon, wie „nebensächlich“ sie erscheint – muss derselben Audit-Strenge unterzogen werden wie die Primärfunktionen des Protokolls.

3. Zeitverzögertes Deployment-Monitoring

Der anfällige Kontrakt war 17 Tage lang live, bevor er ausgenutzt wurde. Protokolle sollten Folgendes implementieren:

Post-Deployment-Monitoring mit Anomalieerkennung bei neuen Kontrakten
Stufenweise Rollouts, bei denen neue Funktionen vor dem vollständigen Deployment mit Transaktionslimits starten
Verstärkte Bug-Bounties während der ersten 30 Tage nach jedem Kontrakt-Upgrade

4. NFT-Lending birgt einzigartige Sicherheitsherausforderungen

Im Gegensatz zu DeFi mit fungiblen Token, bei denen Assets austauschbar sind, müssen NFT-Lending-Protokolle mit Folgendem umgehen:

Approval-basierte Angriffsvektoren, die spezifische, unersetzliche Assets abziehen können
Komplexes Sicherheitenmanagement über Hunderte von Kollektionen mit unterschiedlichen Standards hinweg
Komplexität bei der Wiederherstellung, wenn gestohlene Assets auf Sekundärmärkte gelangen und unschuldige Käufer involviert sind
Bewertungsunklarheit, die eine Entschädigung erschwert, wenn keine vergleichbaren Ersatzobjekte existieren

Mit mittlerweile über 78 NFT-Lending- und Rental-Plattformen benötigt die Branche gemeinsame Sicherheitsstandards und koordinierte Frameworks zur Offenlegung von Schwachstellen.

Die breitere Smart-Contract-Sicherheitslandschaft

Der Gondi-Exploit geschah nicht im luftleeren Raum. Allein in der ersten Hälfte des Jahres 2025 gingen 3,1 Milliarden $ durch Smart-Contract-Exploits verloren. Angreifer nutzen Schwachstellen mittlerweile innerhalb von durchschnittlich fünf Tagen nach ihrer Entdeckung aus, verglichen mit 32 Tagen vor nur zwei Jahren – das bedeutet, dass das Zeitfenster für Erkennung und Patchen rapide schrumpft.

Umfassende Smart-Contract-Audits kosten im Jahr 2025 typischerweise zwischen 25.000 $und 150.000$ . Statische Analysetools wie MythX und Slither können etwa 92 % der bekannten Schwachstellenmuster erkennen, übersehen jedoch weiterhin logische Fehler in Grenzbereichen – genau die Art von Logikfehler in der Geschäftslogik, die den Gondi-Exploit ermöglichte.

Das Fazit ist klar: Audits sind notwendig, aber nicht ausreichend. Protokolle benötigen eine mehrschichtige Sicherheit, einschließlich formaler Verifizierung, kontinuierlichem Monitoring, gestuften Deployments und aktiven Bug-Bounty-Programmen.

Ausblick

Der Vorfall bei Gondi wird wahrscheinlich mehrere Trends im NFT-Lending-Bereich beschleunigen:

Versicherungsprodukte, die speziell für NFT-Sicherheiten und Lending-Protokolle entwickelt wurden
Standardisierte Sicherheits-Frameworks für NFT-spezifische Smart-Contract-Interaktionen
On-Chain-Approval-Management-Tools, die direkt in die Oberflächen von Lending-Protokollen integriert sind
Echtzeit-Monitoring-Dashboards, die ungewöhnliche Approval-basierte Transfers markieren

Die transparente Reaktion von Gondi und die Verpflichtung zur vollständigen Rückerstattung könnten das Vertrauen der Nutzer auf lange Sicht sogar stärken. Doch der Exploit dient als eindringliche Mahnung: Bei der Sicherheit von Smart Contracts gibt es keine „unbedeutenden“ Funktionen. Jede Funktion, die mit Nutzer-Assets in Berührung kommt, ist eine potenzielle Angriffsfläche, und die Kosten einer fehlenden require-Anweisung können in unersetzlicher digitaler Kunst gemessen werden.

Der Aufbau auf einer Blockchain-Infrastruktur erfordert Sicherheit auf jeder Ebene. BlockEden.xyz bietet RPC- und API-Dienste auf Enterprise-Niveau mit integrierter Zuverlässigkeit für Entwickler, die auf Ethereum, Sui, Aptos und über 20 weiteren Chains bauen. Erkunden Sie unseren API-Marktplatz, um auf Fundamenten zu bauen, die auf Dauer ausgelegt sind.

Share on Twitter

API Marketplace Featured

Was ist Gondi und warum es wichtig ist​

Anatomie des Exploits​

Der verwundbare Contract​

Wie sich der Angriff abspielte​

Was gestohlen wurde​

Warum bestehende Audits es übersahen​

Gondis Reaktion: Eine Fallstudie im Krisenmanagement​

Sofortmaßnahmen​

Entschädigungsstrategie​

Lehren für das NFT-Lending-Ökosystem​

1. Approval-Hygiene ist nicht verhandelbar​

2. Peripheriefunktionen benötigen Audits auf Core-Niveau​

3. Zeitverzögertes Deployment-Monitoring​

4. NFT-Lending birgt einzigartige Sicherheitsherausforderungen​

Die breitere Smart-Contract-Sicherheitslandschaft​

Ausblick​