Lead
Gondi, plateforme de prêt décentralisé spécialisée dans les NFTs, a subi un piratage dévastateur. Soixante-dix-huit NFTs blue-chip ont été extraits via une faille critique dans le mécanisme de liquidation du smart contract. La perte est estimée à 5,4 millions de dollars, et le protocole a été suspendu d’urgence.
Contexte
Gondi opère comme une plateforme de prêt peer-to-peer pour les NFTs, permettant aux propriétaires de NFTs de les utiliser comme collatéral pour emprunter des stablecoins. Les NFTs couverts incluent des projets prestigieux comme Bored Apes Yacht Club et CryptoPunks, parmi les plus demandés du marché. Gondi avait revendiqué avoir obtenu un audit de sécurité complet par Certik, l’une des plus grandes sociétés d’audit blockchain au monde. Cette certification était censée inspirer confiance aux utilisateurs et aux investisseurs. L’ironie est cruel : une faille a échappé aux auditeurs, remettant en question la qualité des audits effectués.
Détails techniques
L’exploit a ciblé le processus de liquidation des collatéraux NFT. Lorsqu’un prêt approche de sa liquidation, Gondi déclenche un mécanisme pour récupérer le NFT en garantie. L’attaquant a découvert une faille logique permettant de manipuler cet appel de liquidation pour siphonner les NFTs sans les rembourser correctement. Au total, 78 NFTs ont été extraits, incluant 12 Bored Apes (chacun valant entre 80 et 150K USD), 34 CryptoPunks, et divers autres NFTs rares. L’équipe a gelé le protocole et lancé une enquête. Les NFTs volés ont probablement été transférés vers des wallets anonymes en préparation pour une vente future ou un mélange via services de tumbling.
Analyse rapide
Cet incident illustre un paradoxe croissant dans la DeFi : les audits de sécurité, bien qu’essentiels, ne garantissent jamais une sécurité totale. Gondi avait un audit Certik, mais cela n’a pas empêché le piratage. Les prêteurs sur Gondi subiront des pertes substantielles, et la confiance envers la plateforme s’est effondrée. Gondi devra publier un post-mortem transparent et proposer un plan de récupération crédible pour survivre à cette crise.
FAQ
Q: Comment un protocole audité par Certik a-t-il pu être hacké?
R: Les audits détectent la plupart des vulnérabilités, mais aucun audit n’est exhaustif. Des failles logiques subtiles peuvent passer inaperçues, surtout avec des smart contracts très complexes.
Q: Peut-on retrouver les NFTs volés?
R: C’est possible si les attaquants tentent de vendre les NFTs sur des marchés publics, mais s’ils les gardent hors-chaîne ou les mélangent via des services d’anonymat, la récupération devient très difficile.
À suivre
Gondi publiera un audit de sécurité externe complet et un plan de compensation pour les utilisateurs affectés. L’équipe discutera probablement d’un airdrop de tokens ou d’une assurance insurance. Les autorités peuvent également enquêter si le vol franchit les juridictions.
