Por Angel Di Matteo 𝕏 @shadowargelLa plataforma de préstamos NFT,Gondi, logró contener un exploit que permitió a un atacante sustraer decenas de tokens no fungibles, con pérdidas estimadas en aproximadamente USD $230.000.
***
- Un error en el contrato Sell & Repay permitió drenar alrededor de 78 NFTs.
- Entre los activos robados figuran Art Blocks, Doodles y obras de Beeple.
- El equipo trabaja para compensar a los usuarios afectados tras contener el ataque.
La plataforma de liquidez y préstamos NFT, Gondi, confirmó que logró contener un exploit reciente que permitió a un atacante sustraer decenas de tokens no fungibles pertenecientes a varios usuarios. Según la firma de seguridad blockchain Blockaid, el incidente provocó pérdidas estimadas en aproximadamente USD $230.000, lo que generó preocupación entre coleccionistas y participantes del ecosistema de activos digitales.
En una actualización publicada el lunes, el equipo responsable del protocolo explicó que su principal prioridad ahora consiste en compensar a los usuarios afectados por el incidente. La plataforma indicó que se encuentra trabajando activamente para “restituir completamente” a quienes sufrieron pérdidas, mientras continúa evaluando el alcance total del ataque.
El incidente pone nuevamente en evidencia los riesgos asociados a los contratos inteligentes que sustentan muchas plataformas de finanzas descentralizadas, especialmente cuando estos gestionan activos de alto valor como los tokens no fungibles.
Un fallo en el contrato Sell & Repay
De acuerdo con una publicación previa del equipo de Gondi en la red social X, el exploit estuvo vinculado a una versión recientemente desplegada de su contrato Sell & Repay. Este componente forma parte del protocolo de préstamos NFT de la plataforma y permite a los prestatarios vender coleccionables digitales que permanecen en custodia dentro de un préstamo, utilizando el producto de esa venta para reembolsar automáticamente la deuda en una única transacción agrupada.
El problema se originó tras el despliegue de una nueva versión del contrato el 20 de febrero. Según explicó el equipo, la actualización introdujo un error lógico dentro de una función conocida como Purchase Bundler, la cual es responsable de coordinar determinadas operaciones relacionadas con la compra y liquidación de activos.
Debido a esta falla, el contrato no verificaba adecuadamente si la dirección que ejecutaba la operación era el propietario legítimo del NFT o el prestatario asociado al activo. Esta omisión permitió que un atacante ejecutara transacciones fraudulentas, aprovechando la vulnerabilidad para transferir múltiples tokens fuera del protocolo.
Decenas de NFTs drenados en pocas transacciones
El análisis de las transacciones registradas en la blockchain permite dimensionar el alcance del ataque. Datos disponibles en Etherscan muestran que aproximadamente 78 NFTs fueron transferidos hacia una dirección que posteriormente fue etiquetada como GONDI Exploiter.
Las operaciones ocurrieron a lo largo de unas 40 transacciones distintas, lo que permitió al atacante consolidar rápidamente los activos en una sola dirección.
Entre los tokens drenados se encuentran 44 NFTs pertenecientes a la colección generativa Art Blocks, una serie ampliamente reconocida dentro del ecosistema de arte generativo en Blockchain. También se registró la transferencia de 10 NFTs de la colección Doodles, conocida por sus personajes coloridos y su fuerte presencia en mercados secundarios.
Además, el atacante logró transferir dos piezas de la colección “Spring Collection” del artista digital Beeple, una de las figuras más influyentes dentro del arte NFT. Otros activos provenientes de colecciones valiosas también fueron identificados entre los tokens sustraídos.
Pérdidas significativas para algunos usuarios
El impacto del exploit varía dependiendo del usuario afectado, aunque algunos casos individuales representan pérdidas particularmente significativas.
El coleccionista NFT conocido como tinoch estimó que uno de los posibles afectados perdió alrededor de 55 ETH durante el ataque. Al momento de la observación, esa cantidad equivalía aproximadamente a USD $108.000.
Este tipo de incidentes resalta la fragilidad que pueden presentar algunos protocolos cuando se introducen errores en contratos inteligentes que gestionan activos valiosos. Incluso una vulnerabilidad relativamente pequeña puede generar pérdidas importantes en cuestión de minutos.
Funciones afectadas fueron desactivadas
Tras identificar el origen del problema, el equipo de Gondi decidió desactivar temporalmente la función Sell & Repay mientras trabaja en una corrección definitiva.
“El componente Sell & Repay permanece deshabilitado mientras desplegamos un arreglo”, explicó el equipo en su actualización. Esta medida busca evitar que la vulnerabilidad vuelva a ser explotada mientras se implementan las modificaciones necesarias en el contrato.
Al mismo tiempo, la plataforma subrayó que el exploit tuvo un alcance limitado. Según el comunicado oficial, los NFTs que se encontraban vinculados a préstamos activos no se vieron afectados en ningún momento.
Asimismo, otras funciones del protocolo continuaron operando con normalidad. Entre ellas se incluyen las herramientas para comprar, vender, listar, ofertar o intercambiar NFTs dentro del marketplace.
Posteriormente, el equipo indicó que las actividades dentro de la plataforma pueden retomarse con normalidad, incluyendo operaciones como repagar préstamos, renegociar condiciones, refinanciar posiciones, iniciar nuevos préstamos o realizar transacciones con NFTs.
Auditorías y revisión del protocolo
Inicialmente, el equipo había recomendado a los usuarios evitar cualquier interacción con la plataforma mientras se investigaba el incidente.
Sin embargo, la actualización más reciente revocó esa advertencia. Según el comunicado, el protocolo fue revisado posteriormente por la firma de seguridad Blockaid y por un auditor independiente.
Estas revisiones tuvieron como objetivo confirmar que la vulnerabilidad había sido correctamente identificada y contenida antes de reactivar completamente las operaciones.
La participación de entidades externas en el análisis también busca reforzar la confianza de los usuarios en la seguridad del protocolo tras el exploit.
Esfuerzos para compensar a los usuarios afectados
Además de contener el ataque, el equipo de Gondi comenzó a implementar medidas para compensar a los usuarios que sufrieron pérdidas.
Una de las primeras acciones consistió en contactar directamente a las direcciones que interactuaron con el contrato vulnerable para evaluar el impacto específico en cada caso.
El equipo también logró rastrear varios NFTs robados que posteriormente fueron adquiridos por compradores que aparentemente desconocían el origen ilícito de los activos. En esos casos, la plataforma trabaja para recuperar los tokens y devolverlos a sus propietarios originales.
Cuando la recuperación directa no resulta posible, Gondi ha comenzado a utilizar las tarifas generadas por el protocolo para adquirir NFTs comparables provenientes de colecciones conocidas como 1/1-of-X. Estos activos se emplean para compensar a los usuarios afectados.
“Si bien no es exactamente la misma pieza, creemos que se trata de una solución justa y significativa”, explicó el equipo en su comunicado, señalando que cada caso se está coordinando directamente con los propietarios.
En situaciones donde se perdieron NFTs completamente únicos, conocidos como one-of-one, el equipo indicó que mantiene conversaciones activas con las partes involucradas para encontrar una resolución adecuada.
Un protocolo de liquidez para NFTs
Gondi opera como un mercado descentralizado y no custodial enfocado en proporcionar liquidez para activos NFT. El protocolo permite a los usuarios utilizar sus coleccionables digitales como garantía para obtener préstamos, mientras que otros participantes pueden prestar capital y recibir intereses por esos créditos.
La plataforma también facilita la refinanciación de posiciones asociadas a NFTs, permitiendo a los usuarios ajustar condiciones de deuda sin necesidad de vender sus activos.
Este tipo de infraestructura ha ganado popularidad dentro del ecosistema de finanzas descentralizadas aplicadas a NFTs, ya que permite liberar capital sin desprenderse permanentemente de los coleccionables.
Sin embargo, el incidente reciente también demuestra que incluso plataformas especializadas en liquidez para NFTs continúan enfrentando desafíos técnicos significativos, especialmente cuando se introducen nuevas versiones de contratos inteligentes que no han sido probadas exhaustivamente.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Rusia alerta por estafas cripto que usan el nombre de aliados de Putin para recaudar fondos pro Irán
Estafas
Influencer cripto pierde USD $24 millones por envenenamiento de direcciones en Ethereum
DeFi
Jueza federal en Nueva York desestima demanda colectiva por tokens estafa contra Uniswap
Estafas