Platform pinjaman NFT Gondi menyatakan akan memberikan kompensasi kepada pengguna yang terdampak akibat eksploitasi yang terjadi pada Senin lalu. Dalam insiden tersebut, pelaku berhasil mencuri NFT senilai sekitar $230.000 dari protokol.

Dalam pembaruan setelah insiden, Gondi mengonfirmasi bahwa eksploitasi pada fitur “Sell & Repay contract” memungkinkan penyerang menarik NFT yang sedang disimpan (escrow) di dalam protokol. Kontrak ini sebenarnya memungkinkan peminjam untuk menjual NFT yang dijadikan jaminan, lalu menggunakan hasilnya untuk melunasi pinjaman yang masih berjalan di platform.

Versi terbaru kontrak tersebut sebenarnya sudah diluncurkan pada 20 Februari, namun Gondi belum menjelaskan secara rinci bagaimana celah keamanan tersebut bisa dimanfaatkan oleh pelaku.

Eksploitasi ini disebut tidak berdampak pada bagian lain dari protokol. Saat ini Gondi telah menghentikan sementara kontrak tersebut untuk melakukan perbaikan, sementara layanan lain di platform tetap berjalan normal.

“Semua pengguna yang berinteraksi dengan kontrak ini dan terdampak sudah dihubungi langsung oleh tim kami,” tulis Gondi. Dalam pembaruan berikutnya, protokol tersebut menyatakan berencana mengganti kerugian pengguna dengan membeli NFT yang sebanding dari koleksi yang sama.

“Meski bukan NFT yang sama persis, kami menilai ini sebagai solusi yang adil dan bermakna, dan kami sedang berkoordinasi langsung dengan masing-masing pemilik,” tambahnya.

Sejak insiden tersebut, sistem Gondi telah ditinjau oleh tim keamanan Blockaid serta auditor independen. Hasilnya menyimpulkan bahwa protokol tersebut aman untuk digunakan.

Upaya pemulihan NFT masih berlangsung

Menurut Blockaid, setelah melakukan eksploitasi, pelaku mulai menjual sebagian NFT yang dicuri. Hingga pembaruan terakhir, Gondi menyebutkan bahwa sebagian NFT masih berada di wallet milik pelaku, sementara sisanya telah dijual kepada pembeli yang tidak mengetahui bahwa NFT tersebut berasal dari hasil eksploitasi.

“Kami telah menghubungi masing-masing pembeli secara langsung dan meminta bantuan mereka untuk mengembalikan NFT tersebut kepada pemilik yang sah,” ujar Gondi.

Sementara itu, setidaknya empat NFT telah berhasil dipulihkan dan dikembalikan oleh komunitas NFT, yaitu Aluminum Gazer, Servant of the Muse, Doodle, dan Lil Pudgy.

Platform tersebut juga menyatakan menggunakan biaya protokol (protocol fees) untuk membeli kembali NFT yang berhasil dipulihkan dan memberikan kompensasi kepada pengguna yang terdampak.

Eksploitasi terhadap Gondi ini menjadi serangan kedua dalam dua minggu terakhir di sektor kripto. Sebelumnya, platform DeFi yang berfokus pada Bitcoin, Solv Protocol, juga mengalami eksploitasi yang memungkinkan peretas menguras sekitar $2,7 juta dana dari salah satu vault token mereka.