Das NFT-Kreditprotokoll Gondi hat nach einem Vorfall, bei dem NFTs im Wert von rund 230.000 US-Dollar entwendet wurden, die Sicherheit seiner Plattform wiederhergestellt. Der Exploit ereignete sich am 9. März 2026 und zielte auf eine Schwachstelle in einem kürzlich aktualisierten Smart Contract ab.
Die Sicherheitslücke befand sich im „Sell & Repay“-Smart-Contract, dessen aktualisierte Version am 20. Februar 2026 implementiert wurde. Eine logische Schwachstelle in der „Purchase Bundler“-Funktion dieses Vertrags führte zu einer fehlerhaften Überprüfung der Eigentümer- oder Kreditnehmerstellung von NFTs. Insgesamt wurden 78 NFTs in etwa 40 Transaktionen gestohlen und an eine Adresse weitergeleitet, die auf Etherscan als „GONDI Exploiter“ gekennzeichnet ist.
Zu den entwendeten Vermögenswerten gehörten 44 Art Blocks-Token, 10 Doodles und 2 Beeple-Kunstwerke. Ein einzelner Nutzer verlor dabei NFTs im Wert von circa 108.000 US-Dollar.
NFTs, die als Sicherheiten in aktiven Darlehen gehalten wurden, blieben von dem Exploit unberührt. Gondi hat den betroffenen „Sell & Repay“-Vertrag umgehend deaktiviert. Andere Kernfunktionen der Plattform, darunter Kauf, Verkauf, Auflistung, Bieten, Handel, Refinanzierung und Aufnahme neuer Kredite, sind laut dem Unternehmen sicher.
Gondi konzentriert sich nun darauf, die betroffenen Nutzer zu entschädigen. Dies beinhaltet den Ankauf vergleichbarer NFTs aus denselben Kollektionen und Gespräche über einzigartige 1/1-NFTs. Nutzern wird empfohlen, die Genehmigungen für betroffene Smart Contracts über Dienste wie Revoke.cash zu widerrufen.
Die Blockchain-Sicherheitsfirma Blockaid schätzte den Schaden auf 230.000 US-Dollar und bestätigte, dass der Angreifer mit dem Verkauf der gestohlenen NFTs begann.
Nach Überprüfungen durch Blockaid und einen unabhängigen Prüfer wurde die Gondi-Plattform als sicher für die weitere Nutzung eingestuft.
