Saltar al contenido principal

Explotación de préstamos NFT de Gondi por $230K: Cómo una verificación de llamada faltante drenó 78 NFT blue-chip

· 9 min de lectura
Dora Noda
Dora Noda
Software Engineer

Una sola verificación de autorización faltante. Diecisiete días sin ser detectada. Setenta y ocho NFTs de primer nivel (blue-chip) — incluyendo piezas de Art Blocks, Doodles y Beeple — fueron drenados de carteras que nunca iniciaron una transacción. El exploit de Gondi del 9 de marzo de 2026 es una clase magistral sobre cómo las "funciones de conveniencia" pueden convertirse en superficies de ataque, y por qué el sector de préstamos de NFTs enfrenta desafíos de seguridad que las DeFi de tokens fungibles nunca tuvieron que confrontar.

Qué es Gondi y por qué es importante

Gondi es un protocolo descentralizado de préstamos de NFTs entre pares (P2P) que permite a los usuarios pedir prestado WETH, USDC o HYPE utilizando sus NFTs como garantía: sin oráculos, sin liquidaciones forzadas y con intereses prorrateados. Con más de 100millonesenvalortotalbloqueado(TVL),100 millones en valor total bloqueado (TVL), 45 millones en deuda pendiente y un volumen de préstamos anualizado superior a los $ 400 millones en más de 150 colecciones compatibles, Gondi se había consolidado como uno de los mercados de liquidez de NFTs más grandes del espacio.

El protocolo introdujo innovaciones como el refinanciamiento parcial instantáneo, la suscripción de riesgos continua y préstamos en múltiples tramos. Una de sus funciones de conveniencia, "Sell & Repay" (Vender y Reembolsar), permitía a los prestatarios vender NFTs en custodia y reembolsar préstamos automáticamente en una sola transacción agrupada, reduciendo la fricción y los costes de gas.

Fue esta función de conveniencia la que se convirtió en el vector de ataque.

Anatomía del exploit

El contrato vulnerable

El 20 de febrero de 2026, Gondi desplegó una versión actualizada de su contrato Sell & Repay. La nueva versión incluía una función "Purchase Bundler" diseñada para operaciones por lotes. Pero la función contenía un fallo crítico: no verificaba adecuadamente si el remitente (msg.sender) era el propietario legítimo o el prestatario de los NFTs que se estaban transaccionando.

Cómo se desarrolló el ataque

El 9 de marzo — diecisiete días después del despliegue — un atacante descubrió y explotó esta brecha:

  1. Reconocimiento: El atacante escaneó datos públicos de la blockchain en busca de carteras que hubieran otorgado aprobaciones de tokens activas al contrato vulnerable de Gondi.
  2. Llamadas diseñadas: Usando su propia cartera, el atacante llamó a la función Purchase Bundler con executionData fabricado que contenía los detalles de los NFTs objetivo.
  3. Omisión de autorización: Debido a que el contrato nunca comprobó si el llamante era el propietario legítimo, trató cada llamada como legítima.
  4. Drenaje mediante aprobaciones: El contrato utilizó las aprobaciones existentes de los usuarios para transferir NFTs desde las carteras de las víctimas, sin que las víctimas firmaran nunca una nueva transacción.

En aproximadamente 40 transacciones, el atacante drenó 78 NFTs a una dirección ahora etiquetada como "GONDI Exploiter" en Etherscan.

Qué fue robado

El botín incluyó algunas de las colecciones más reconocidas del ecosistema NFT:

  • 44 tokens de Art Blocks: piezas de arte generativo de una de las colecciones más prestigiosas de Ethereum
  • 10 Doodles: colección PFP de primer nivel (blue-chip) con un fuerte respaldo comunitario
  • 2 piezas de la "Spring Collection" de Beeple: del artista cuya venta de $ 69 millones en Christie's catalizó el auge de los NFTs
  • Más de 22 NFTs adicionales de SuperRare y otras colecciones de alto valor

El coleccionista de NFTs tinoch estimó que una sola víctima (cartera 0x8d1...47051) perdió aproximadamente 55 ETH — unos $ 108,000 — lo que representa casi la mitad del valor total del exploit.

Por qué las auditorías existentes lo pasaron por alto

La vulnerabilidad no estaba en la lógica central de préstamos de Gondi, la cual había sido auditada y probada rigurosamente. Se encontraba en una función de "conveniencia" periférica — el Purchase Bundler — que formaba parte de un contrato recién desplegado. Los alcances estándar de las auditorías suelen centrarse en la mecánica central del protocolo: manejo de garantías, lógica de liquidación, cálculos de intereses. Las funciones periféricas añadidas después del despliegue inicial a menudo reciben menos escrutinio, creando puntos ciegos que los atacantes seleccionan específicamente.

Este patrón es alarmantemente común. Según los datos de seguridad de 2024-2025, las vulnerabilidades de control de acceso representaron $ 953.2 millones en daños documentados. Los fallos en la lógica de negocio — exactamente la categoría en la que cae el error de Gondi — han ascendido a la segunda posición en el ranking de vulnerabilidades de contratos inteligentes de OWASP, reflejando la creciente complejidad de DeFi.

Respuesta de Gondi: Un caso de estudio en gestión de crisis

La respuesta de Gondi tras el exploit fue notablemente rápida y transparente, estableciendo un referente sobre cómo los protocolos deben manejar los incidentes de seguridad.

Acciones inmediatas

  • Identificó y desactivó el contrato vulnerable Sell & Repay en cuestión de horas
  • Confirmó que las garantías de los préstamos activos no se vieron afectadas; solo los NFTs inactivos (aquellos que no estaban actualmente en préstamos activos) eran vulnerables
  • Reanudó la mayoría de las operaciones de la plataforma al día siguiente tras auditorías de emergencia realizadas por Blockaid y revisores independientes

Estrategia de restitución

En lugar de ofrecer simplemente una compensación en ETH, Gondi adoptó un enfoque más matizado:

  • Recuperación directa: El equipo rastreó los NFTs robados en mercados secundarios, identificando a compradores que aparentemente no sabían que los activos provenían del exploit. Esos artículos están siendo devueltos a sus propietarios originales.
  • Reemplazo comparable: Para los NFTs que no pudieron recuperarse directamente, Gondi comenzó a usar las tarifas del protocolo para comprar "artículos comparables" de las mismas colecciones. Como afirmó el equipo: "Aunque no sea la misma pieza exacta, creemos que esta es una resolución justa y significativa".
  • Coordinación individual: El equipo se puso en contacto directamente con cada usuario que había interactuado con el contrato vulnerable, independientemente de si se vieron afectados.

Este enfoque reconoce algo único sobre los NFTs: a diferencia de los tokens fungibles, cada pieza tiene características distintas. Devolver un "valor equivalente" en ETH no repararía el daño a un coleccionista si perdió una pieza generativa específica de Art Blocks o un Doodle particular.

Lecciones para el ecosistema de préstamos NFT

1. La higiene de las aprobaciones no es negociable

El exploit solo fue posible porque los usuarios tenían aprobaciones de tokens activas hacia el contrato vulnerable. Este es un problema sistémico en las plataformas DeFi y NFT: los usuarios otorgan rutinariamente aprobaciones ilimitadas a los contratos inteligentes y nunca las revocan.

Para los usuarios: Auditen y revoquen regularmente las aprobaciones de tokens innecesarias utilizando herramientas como Revoke.cash o el verificador de aprobaciones de tokens de Etherscan. Limiten las aprobaciones al monto y la duración mínimos necesarios.

2. Las funcionalidades periféricas necesitan auditorías de nivel principal

El Sell & Repay Purchase Bundler era una funcionalidad de conveniencia, no parte de la lógica central de préstamos. Sin embargo, tenía acceso a las mismas aprobaciones de los usuarios y permisos del contrato. Cualquier función que pueda mover activos de los usuarios — independientemente de qué tan "auxiliar" parezca — debe recibir el mismo rigor de auditoría que las funciones principales del protocolo.

3. Monitoreo de despliegue con retraso temporal

El contrato vulnerable estuvo activo durante 17 días antes de ser explotado. Los protocolos deberían implementar:

  • Monitoreo post-despliegue con detección de anomalías en los nuevos contratos
  • Lanzamientos graduales donde las nuevas funcionalidades se lancen con límites de transacción antes del despliegue total
  • Amplificación de bug bounties durante los primeros 30 días posteriores a cualquier actualización de contrato

4. Los préstamos NFT presentan desafíos de seguridad únicos

A diferencia de DeFi de tokens fungibles, donde los activos son intercambiables, los protocolos de préstamos NFT deben lidiar con:

  • Vectores de ataque basados en aprobaciones que pueden drenar activos específicos e irremplazables
  • Gestión compleja de colaterales a través de cientos de colecciones con diferentes estándares
  • Complejidad en la recuperación cuando los activos robados entran en mercados secundarios e involucran a compradores inocentes
  • Ambigüedad en la valoración que dificulta la "compensación íntegra" cuando no existen reemplazos comparables

Con más de 78 plataformas de préstamos y alquiler de NFT operando actualmente, la industria necesita estándares de seguridad compartidos y marcos coordinados de divulgación de vulnerabilidades.

El panorama más amplio de la seguridad de los contratos inteligentes

El exploit de Gondi no ocurrió de forma aislada. Solo en la primera mitad de 2025, se perdieron 3.100 millones de dólares debido a exploits en contratos inteligentes. Los atacantes ahora explotan vulnerabilidades en un promedio de cinco días tras su descubrimiento, frente a los 32 días de hace solo dos años — lo que significa que la ventana para la detección y el parcheo se está reduciendo rápidamente.

Las auditorías integrales de contratos inteligentes en 2025 suelen costar entre 25.000 y 150.000 dólares. Las herramientas de análisis estático como MythX y Slither pueden detectar aproximadamente el 92% de los patrones de vulnerabilidad conocidos, pero aún pasan por alto problemas de lógica en casos límite — precisamente el tipo de falla en la lógica de negocio que permitió el exploit de Gondi.

La conclusión es clara: las auditorías son necesarias pero no suficientes. Los protocolos necesitan una seguridad en capas que incluya verificación formal, monitoreo continuo, despliegues graduales y programas activos de bug bounty.

Mirando hacia el futuro

Es probable que el incidente de Gondi acelere varias tendencias en el espacio de los préstamos NFT:

  • Productos de seguros diseñados específicamente para colaterales NFT y protocolos de préstamos
  • Marcos de seguridad estandarizados para interacciones de contratos inteligentes específicos de NFT
  • Herramientas de gestión de aprobaciones on-chain integradas directamente en las interfaces de los protocolos de préstamos
  • Paneles de monitoreo en tiempo real que señalen transferencias inusuales basadas en aprobaciones

La respuesta transparente de Gondi y su compromiso con la restitución total pueden, de hecho, fortalecer la confianza de los usuarios a largo plazo. Pero el exploit sirve como un recordatorio contundente: en la seguridad de los contratos inteligentes, no existen funcionalidades "menores". Cada función que toca los activos de los usuarios es una superficie de ataque potencial, y el costo de una instrucción require faltante puede medirse en arte digital irremplazable.

Construir sobre infraestructura blockchain requiere seguridad en cada capa. BlockEden.xyz proporciona servicios RPC y API de grado empresarial con confiabilidad integrada para desarrolladores que construyen en Ethereum, Sui, Aptos y más de 20 cadenas. Explore nuestro mercado de APIs para construir sobre bases diseñadas para durar.

Share on Twitter