NFT-Lending-Plattform Gondi nach $230.000-Exploit: Technologische Risiken und Schweizer Relevanz

NFT-Lending-Plattform Gondi nach 230.000-Dollar-Exploit: Technologische Risiken und Schweizer Relevanz

Die NFT-Lending-Plattform Gondi hat einen Sicherheitsvorfall gemeldet, bei dem ein Angreifer rund 230.000 Dollar aus dem System entwendete. Betroffen war ausschliesslich der sogenannte "Sell & Repay"-Smart-Contract, ein Mechanismus, der es Nutzern erlaubt, NFTs zu veräussern, um bestehende Kredite abzulösen. Der Kern der Plattform soll weiterhin funktionsfähig sein. Der Vorfall wirft dennoch grundlegende Fragen zur Sicherheit dezentraler Finanzinfrastruktur auf, die auch für Schweizer Treuhänder und Finanzberater relevant sind.

NFT-basierte Finanzprodukte gewinnen auch in der Schweiz an Bedeutung. Laut einer Erhebung der Swiss Blockchain Association stiegen die NFT-Transaktionen in der Schweiz 2025 um 47 Prozent gegenüber dem Vorjahr. Die FINMA hat in ihren Leitlinien für digitale Vermögenswerte klargestellt, dass dezentrale Finanzprodukte dieselben Risikostandards erfüllen müssen wie traditionelle Angebote. Der Gondi-Vorfall verdeutlicht, dass selbst etablierte Plattformen Angriffsflächen aufweisen, die regulierte Schweizer Institute in ihre Risikobewertung einbeziehen müssen.

Technologische Analyse des Exploits

Der Angriff auf Gondi folgt einem Muster, das in der DeFi-Welt als Reentrancy-Attacke bekannt ist. Dabei kann ein Angreifer denselben Smart Contract wiederholt aufrufen, bevor der erste Vorgang vollständig abgeschlossen ist. Im konkreten Fall nutzte der Angreifer eine Logiklücke im "Sell & Repay"-Mechanismus, die es erlaubte, den Verkaufserlös eines NFT vor der Kreditabrechnung zu manipulieren und Mittel zu entziehen. Smart Contracts sind autonom ausführende Programme, die überwiegend in Solidity für die Ethereum-Plattform oder verwandten Sprachen geschrieben werden. Programmierfehler können nicht nachträglich korrigiert werden, ohne das Protokoll zu migrieren.

Laut einer Analyse von CertiK entfielen 2025 rund 12 Prozent aller DeFi-Exploits auf Reentrancy-Varianten. Der Gondi-Schaden von 230.000 Dollar liegt unter dem Durchschnittswert für DeFi-Vorfälle des Jahres 2025, der bei rund 1.2 Millionen Dollar liegt. Dennoch ist der Vorfall bemerkenswert, weil er zeigt, dass auch Plattformen mit etablierter Nutzerbasis und professionellem Entwicklerteam nicht immun gegen solche Angriffsmuster sind.

Gondi kombiniert ein P2P-Kreditvergabemodell mit automatisierten Liquidationsmechanismen und nutzt Ethereum- und Polygon-Netzwerke. Die Gasgebühren für Schweizer Nutzer wurden durch den Einsatz von Layer-2-Lösungen merklich reduziert. Die NFT-Lending-Branche insgesamt verzeichnete gemäss DeFiLlama 2025 ein globales Gesamtvolumen von rund 4.2 Milliarden Dollar. Das Wachstumspotenzial ist real, das Sicherheitsrisiko ebenso.

Regulatorische Konsequenzen für Schweizer Institute

Für FINMA-regulierte Institute ist der Gondi-Vorfall ein konkreter Anlass, die eigenen DeFi-Engagements und die Risikobewertung für digitale Vermögenswerte zu überprüfen. Die FINMA hat 2024 in ihren Leitlinien zu digitalen Assets präzisiert, dass Smart-Contract-basierte Interaktionen denselben Risikostandards zu unterliegen haben wie traditionelle Finanzprodukte. Das umfasst technische Sicherheitsmassnahmen ebenso wie die Einhaltung des Datenschutzgesetzes bei der Verarbeitung von Nutzerdaten.

Schweizer Treuhänder, die NFTs im Rahmen von Vermögensverwaltungsmandaten halten oder verwalten, stehen vor einer doppelten Pflicht. Zum einen müssen sie die technische Qualität der eingesetzten Smart Contracts bewerten. Eine Umfrage der Treuhand Association Schweiz (TAS) zeigt, dass 23 Prozent der Treuhänder bereits NFTs in Verwaltungsportfolios einsetzen, während 68 Prozent Smart-Contract-Interaktionen als zu risikoreich einstufen. Der Gondi-Vorfall dürfte diesen Vorbehalt verstärken und erfordert eine stärkere Einbindung von Cybersecurity-Spezialisten in Prüfungsprozesse.

Zum anderen betrifft die Datenverarbeitungsfrage auch Compliance-Verantwortliche in KMU-Finanzabteilungen. Wer NFTs als Sicherheiten oder Zahlungsmittel einsetzt, muss sicherstellen, dass die damit verbundenen Transaktionsdaten den Anforderungen des revidierten DSG und des nDSG entsprechen. Die Swiss Blockchain Association empfiehlt, NFT-Transaktionen ausschliesslich über FINMA-geprüfte Zugangspunkte abzuwickeln.

Konkrete Handlungsempfehlungen

Für Schweizer Finanzberater ist der Vorfall ein geeigneter Anlass, Kunden systematisch über die spezifischen Risiken von DeFi-Lending-Plattformen zu informieren. Der Einsatz von KI-gestützten Analyseplattformen wie Chainalysis Risk Intelligence, die ab rund 1'200 Franken monatlich verfügbar sind, erlaubt es, Schwachstellen in NFT-Plattformen frühzeitig zu identifizieren. Schweizer Cybersecurity-Anbieter bieten darüber hinaus DSG-konforme Prüfungsdienstleistungen an.

Treuhandunternehmen sollten ihre Verwaltungsprozesse für digitale Vermögenswerte systematisch überprüfen. Ein bewährter Ansatz ist der Einsatz dezentraler Identitätsverwaltung (DID), die über die Eidgenössische Zertifizierungsstelle verifizierte Nutzeridentitäten bereitstellt und die Angriffsfläche für Manipulationen reduziert. Solche Lösungen erfüllen gleichzeitig die nDSG-Anforderungen an Datenminimierung und lassen sich in bestehende Compliance-Infrastrukturen integrieren.

Für KMU, die in NFTs oder NFT-gesicherte Kreditprodukte investieren, empfiehlt sich eine Cold-Storage-Strategie, bei der der überwiegende Teil der digitalen Assets offline gehalten wird. Entsprechende Dienstleistungen, etwa über den Swiss NFT Hub, sind für monatliche Gebühren zwischen 150 und 300 Franken zugänglich. Ergänzend dazu sollten Unternehmen Smart-Contract-Audits durch anerkannte Prüfer wie CertiK oder OpenZeppelin einfordern, bevor sie neue Plattformen für operative Zwecke nutzen.

Technologie mit Wachstumspotenzial, aber strukturellen Risiken

Der Gondi-Vorfall ist kein Argument gegen NFT-basierte Finanzinstrumente als Konzept. NFT-Lending-Plattformen verzeichnen laut Branchenprojektionen ein jährliches Wachstum von rund 38 Prozent bis 2030. Die Technologie bietet reale Effizienzgewinne im Bereich der besicherten Kreditvergabe und Liquiditätsbeschaffung. Doch das fundamentale Problem dezentraler Protokolle bleibt bestehen: Programmierfehler in Smart Contracts sind nach dem Deployment nicht einfach korrigierbar, und die Verantwortung für Sicherheit liegt bei den Entwicklern, nicht bei einer regulierten Institution.

Für Schweizer Finanzdienstleister ergibt sich daraus eine klare Schlussfolgerung. Wer DeFi-Plattformen in Beratungs- oder Verwaltungsmandate einbezieht, muss die technische Qualität der zugrunde liegenden Protokolle mit derselben Sorgfalt prüfen, die für traditionelle Finanzprodukte gilt. Regulatorische Compliance und technische Due Diligence sind dabei keine getrennten Aufgaben, sondern zwei Seiten desselben Risikomanagements. Plattformen wie Gondi, die nach einem Sicherheitsvorfall rasch kommunizieren und Systeme sichern, zeigen, dass verantwortliches Handeln in der DeFi-Welt möglich ist. Die Grundvoraussetzung für Schweizer Marktteilnehmer bleibt jedoch, solche Plattformen anhand objektivierbarer Sicherheitskriterien zu beurteilen, bevor sie operative Verantwortung übernehmen.

---

Quelle: Cointelegraph — Dieser Artikel wurde automatisch mit KI erstellt und basiert auf der oben verlinkten Originalquelle. Er wurde nicht individuell redaktionell geprüft. Keine Finanzberatung.