Взлом NFT-кредитования Gondi на $230 000: Как отсутствие проверки вызывающей стороны привело к краже 78 ценных NFT

Одна пропущенная проверка авторизации. Семнадцать дней незамеченной активности. Семьдесят восемь NFT уровня «голубых фишек» — включая работы Art Blocks, Doodles и Beeple — выведены из кошельков, владельцы которых даже не инициировали транзакцию. Эксплойт Gondi от 9 марта 2026 года — это наглядный пример того, как «функции для удобства» могут стать вектором атаки, и почему сектор кредитования NFT сталкивается с проблемами безопасности, с которыми DeFi на базе взаимозаменяемых токенов никогда не сталкивался.

Что такое Gondi и почему это важно

Gondi — это децентрализованный P2P-протокол кредитования NFT, который позволяет пользователям занимать WETH, USDC или HYPE под залог своих NFT — без оракулов, принудительных ликвидаций и с начислением процентов пропорционально времени использования займа. Имея более 100 миллионов долларов общей заблокированной стоимости (TVL), 45 миллионов долларов непогашенного долга и годовой объем кредитования свыше 400 миллионов долларов в более чем 150 поддерживаемых коллекциях, Gondi зарекомендовал себя как один из крупнейших рынков ликвидности NFT в индустрии.

Протокол внедрил такие инновации, как мгновенное частичное рефинансирование, непрерывный андеррайтинг и многотраншевое кредитование. Одна из его функций для удобства, «Sell & Repay» (Продай и погаси), позволяла заемщикам продавать депонированные NFT и автоматически погашать кредиты в рамках одной пакетной транзакции — что снижало трение и затраты на газ.

Именно эта функция удобства и стала вектором атаки.

Анатомия эксплойта

Уязвимый контракт

20 февраля 2026 года Gondi развернула обновленную версию своего контракта Sell & Repay. Новая версия включала функцию «Purchase Bundler» (Пакетный покупатель), предназначенную для пакетных операций. Однако в функции содержался критический изъян: она не проверяла должным образом, является ли вызывающий абонент (msg.sender) законным владельцем или заемщиком транслируемых NFT.

Как развивалась атака

9 марта — через семнадцать дней после развертывания — злоумышленник обнаружил и использовал эту брешь:

1. Разведка: Злоумышленник сканировал данные публичного блокчейна на предмет кошельков, которые предоставили активные разрешения (approvals) на токены уязвимому контракту Gondi.
2. Сформированные вызовы: Используя собственный кошелек, злоумышленник вызвал функцию Purchase Bundler со специально подготовленными данными executionData, содержащими детали целевых NFT.
3. Обход авторизации: Поскольку контракт никогда не проверял, является ли вызывающий абонент законным владельцем, он обрабатывал каждый вызов как легитимный.
4. Опустошение через разрешения: Контракт использовал существующие разрешения пользователей для перевода NFT из кошельков жертв — при этом жертвы не подписывали никаких новых транзакций.

Примерно за 40 транзакций злоумышленник вывел 78 NFT на адрес, который теперь помечен в Etherscan как «GONDI Exploiter».

Что было украдено

Добыча включала некоторые из самых узнаваемых коллекций в экосистеме NFT:

• 44 токена Art Blocks — произведения генеративного искусства из одной из самых престижных коллекций Ethereum.
• 10 Doodles — PFP-коллекция уровня «голубых фишек» с сильной поддержкой сообщества.
• 2 работы Beeple из «Spring Collection» — от художника, чья продажа на Christie's за 69 миллионов долларов стала катализатором бума NFT.
• 22+ дополнительных NFT из SuperRare и других ценных коллекций.

Коллекционер NFT tinoch подсчитал, что одна жертва (кошелек 0x8d1...47051) потеряла около 55 ETH — примерно 108 000 долларов — что составляет почти половину общей стоимости эксплойта.

Почему существующие аудиты это пропустили

Уязвимость была не в основной логике кредитования Gondi, которая была проверена аудиторами и испытана на практике. Она находилась в периферийной функции «удобства» — Purchase Bundler — которая была частью недавно развернутого контракта. Стандартные рамки аудита обычно фокусируются на основных механизмах протокола: обработке залога, логике ликвидации, расчете процентов. Периферийные функции, добавленные после первоначального развертывания, часто получают меньше внимания, создавая слепые зоны, на которые нацеливаются злоумышленники.

Эта закономерность пугающе распространена. Согласно данным по безопасности за 2024–2025 годы, на уязвимости контроля доступа пришлось 953,2 миллиона долларов задокументированного ущерба. Ошибки в бизнес-логике — именно к этой категории относится баг Gondi — поднялись на второе место в рейтинге уязвимостей смарт-контрактов OWASP, что отражает растущую сложность DeFi.

Ответ Gondi: пример антикризисного управления

Реакция Gondi после эксплойта была на редкость быстрой и прозрачной, установив стандарт того, как протоколы должны обрабатывать инциденты безопасности.

Немедленные действия

• Выявлен и отключен уязвимый контракт Sell & Repay в течение нескольких часов.
• Подтверждено, что активные залоги по кредитам не пострадали — уязвимыми были только бездействующие NFT (те, которые не участвовали в активных займах в данный момент).
• Возобновлена большая часть операций платформы на следующий день после экстренных аудитов, проведенных Blockaid и независимыми экспертами.

Стратегия возмещения ущерба

Вместо того чтобы просто предложить компенсацию в ETH, Gondi применила более тонкий подход:

• Прямое восстановление: Команда отслеживала украденные NFT на вторичных рынках, выявляя покупателей, которые, по всей видимости, не знали о происхождении активов. Эти предметы возвращаются первоначальным владельцам.
• Сопоставимая замена: Для NFT, которые не удалось вернуть напрямую, Gondi начала использовать комиссии протокола для покупки «сопоставимых предметов» из тех же коллекций. Как заявила команда: «Хотя это не то же самое произведение, мы считаем это справедливым и значимым решением».
• Индивидуальная координация: Команда напрямую связалась с каждым пользователем, который взаимодействовал с уязвимым контрактом, независимо от того, пострадал он или нет.

Этот подход учитывает уникальность NFT: в отличие от взаимозаменяемых токенов, каждое произведение имеет свои особенности. Возврат «эквивалентной стоимости» в ETH не сделал бы коллекционера цельным, если он потерял конкретную генеративную работу Art Blocks или определенного персонажа Doodle.

Уроки для экосистемы NFT-кредитования

1. Гигиена аппрувов (Approval Hygiene) не подлежит обсуждению

Эксплойт стал возможен только потому, что у пользователей были активные разрешения (approvals) на токены для уязвимого контракта. Это системная проблема во всех платформах DeFi и NFT: пользователи регулярно предоставляют неограниченные аппрувы смарт-контрактам и никогда не отзывают их.

Для пользователей: Регулярно проводите аудит и отзывайте ненужные аппрувы токенов, используя такие инструменты, как Revoke.cash или чекер аппрувов Etherscan. Ограничивайте разрешения минимально необходимой суммой и сроком действия.

2. Периферийные функции требуют аудита на уровне ядра

Sell & Repay Purchase Bundler был вспомогательной функцией для удобства, а не основной логикой кредитования. Но он имел доступ к тем же аппрувам пользователей и разрешениям контракта. Любая функция, которая может перемещать активы пользователей — независимо от того, насколько «вспомогательной» она кажется — должна подвергаться такому же строгому аудиту, как и основные функции протокола.

3. Мониторинг развертывания с временной задержкой

Уязвимый контракт находился в сети 17 дней до момента эксплойта. Протоколам следует внедрять:

• Пост-деплой мониторинг с обнаружением аномалий в новых контрактах
• Поэтапное развертывание (staged rollouts), когда новые функции запускаются с лимитами на транзакции перед полным деплоем
• Усиление программ bug bounty в течение первых 30 дней после любого обновления контракта

4. NFT-кредитование имеет уникальные проблемы безопасности

В отличие от DeFi с взаимозаменяемыми токенами, где активы взаимозаменяемы, протоколы NFT-кредитования должны справляться с:

• Векторами атак на основе аппрувов, которые могут истощить конкретные, незаменимые активы
• Сложным управлением залогом в сотнях коллекций с различными стандартами
• Сложностью восстановления, когда украденные активы попадают на вторичные рынки и в процесс вовлекаются добросовестные покупатели
• Неоднозначностью оценки, которая затрудняет возмещение ущерба, когда сопоставимая замена может не существовать

Поскольку сейчас работают более 78 платформ для кредитования и аренды NFT, индустрии необходимы общие стандарты безопасности и скоординированные механизмы раскрытия уязвимостей.

Широкий ландшафт безопасности смарт-контрактов

Эксплойт Gondi произошел не в вакууме. Только за первую половину 2025 года в результате эксплойтов смарт-контрактов было потеряно 3,1 миллиарда долларов. Сейчас злоумышленники используют уязвимости в среднем в течение пяти дней после их обнаружения, по сравнению с 32 днями всего два года назад — это означает, что окно для обнаружения и исправления быстро сокращается.

Комплексные аудиты смарт-контрактов в 2025 году обычно стоят от 25 000 до 150 000 долларов. Инструменты статического анализа, такие как MythX и Slither, могут обнаружить примерно 92% известных паттернов уязвимостей, но они все равно пропускают логические ошибки в крайних случаях (edge-cases) — именно тот тип недочета в бизнес-логике, который позволил осуществить эксплойт Gondi.

Вывод очевиден: аудиты необходимы, но недостаточны. Протоколам нужна многоуровневая безопасность, включая формальную верификацию, непрерывный мониторинг, поэтапное развертывание и активные программы bug bounty.

Взгляд в будущее

Инцидент с Gondi, вероятно, ускорит несколько тенденций в сфере NFT-кредитования:

• Страховые продукты, специально разработанные для залога в NFT и кредитных протоколов
• Стандартизированные фреймворки безопасности для взаимодействий со смарт-контрактами, специфичными для NFT
• Инструменты управления аппрувами ончейн, встроенные непосредственно в интерфейсы кредитных протоколов
• Дашборды мониторинга в реальном времени, которые помечают необычные переводы на основе аппрувов

Прозрачная реакция Gondi и обязательство по полному возмещению ущерба могут фактически укрепить доверие пользователей в долгосрочной перспективе. Но этот эксплойт служит суровым напоминанием: в безопасности смарт-контрактов не бывает «второстепенных» функций. Каждая функция, которая касается активов пользователей, является потенциальной поверхностью атаки, а цена отсутствующего оператора require может измеряться в незаменимых произведениях цифрового искусства.

---

Создание инфраструктуры блокчейна требует безопасности на каждом уровне. BlockEden.xyz предоставляет RPC- и API-сервисы корпоративного уровня со встроенной надежностью для разработчиков, создающих решения на Ethereum, Sui, Aptos и более чем 20 других сетях. Изучите наш маркетплейс API, чтобы строить на фундаменте, рассчитанном на долговечность.