9일(현지시간) 가상자산 전문매체 코인텔레그래프에 따르면 해커는 곤디의 '판매 및 상환(Sell & Repay)' 스마트 컨트랙트의 취약점을 악용했다. 이 계약은 대출자가 담보로 맡긴 NFT를 판매해 플랫폼 대출을 자동으로 상환할 수 있게 하는 기능이다.
이더리움 블록체인 탐색기 이더스캔 데이터에 따르면 해커는 이날 78개의 NFT를 훔쳤다. 블록체인 보안업체 블록에이드(Blockaid)는 피해액을 23만달러(약 3억3120만원)로 추산했다.
가상자산 연구원 '티노크'는 소셜미디어 엑스(X)를 통해 한 이용자가 약 10만8000달러(약 1억5552만원) 상당의 NFT를 도난당했으며, 이는 전체 피해액의 거의 절반에 해당한다고 지적했다.
곤디는 해킹 발생 후 문제의 스마트 컨트랙트를 즉시 비활성화했으며, 플랫폼의 다른 부분은 영향을 받지 않았다고 밝혔다. 또한 블록에이드와 외부 감사인의 검토 결과 다른 기능은 안전하게 사용할 수 있다고 덧붙였다.
곤디는 "피해를 입은 모든 이용자에게 보상하는 데 집중하고 있다"고 밝혔다. 회사는 이미 동일한 NFT 컬렉션에서 '유사한 아이템'을 구매해 피해자들에게 전달하고 있으며, 남은 사례에 대해서도 보상을 계속할 방침이다.
NFT 커뮤니티의 도움으로 도난당한 '두들(Doodle)', '릴 퍼지(Lil Pudgy)' 등 일부 NFT는 회수돼 소유자에게 반환되기도 했다. 곤디는 현재 문제의 '판매 및 상환' 계약에 대한 수정 조치는 아직 배포하지 않았으며, 해당 기능은 비활성화된 상태라고 전했다.