Эксплойт ударил по контракту Sell & Repay на Ethereum, позволив атакующему увести ограниченное число NFT вне активных займов.
Как заявила команда Gondi, уязвимая функция временно отключена до выхода патча. Протокол успешно прошел внеплановые аудиты от компании Blockaid и независимых экспертов. Все остальные смарт-контракты, включая займы, торговлю, листинги и ставки, не затронуты и функционируют в штатном режиме.
Также команда настоятельно рекомендовала отозвать ранее выданные аппрувы у скомпрометированных контрактов через сервис revoke.cash.
GoPlusSecurity зафиксировала инцидент, указав адреса атакующего и компрометированных контрактов. Для вывода токенов эксплойт использовал approvals на Purchase Bundle.
В список украденного попали редкие токены, включая Aluminum Gazer, Servant of the Muse, Doodle и Lil Pudgy. Gondi удалось напрямую связаться с добросовестными покупателями, которые приобрели краденые NFT на вторичном рынке, не подозревая об инциденте. Коллекционеры пошли навстречу и добровольно передали токены платформе.
Для возмещения NFT, которые всё ещё остаются на кошельке хакера, протокол выкупает аналогичные токены для серийных коллекций и ведет прямые переговоры по возврату уникальных артов формата 1/1.
Возврат финансируют из протокольных сборов Gondi. Расследование продолжается.