Le nouveau protocole Gold de BNB Chain victime d’un piratage de 2 millions de dollars le jour de son lancement

Le protocole de staking auto-proclamé “DeFi 3.0” et piloté par l’IA, The New Gold Protocol, construit “avec la durabilité au cœur”, a été piraté quelques heures après son lancement. Le piratage a eu lieu le 18 septembre 2025. Le hacker a exploité deux failles dans la conception de NGP. Ce cas démontre comment la négligence dans la conception d’un protocole peut condamner un projet dès le premier jour.

Qu’est-ce que The New Gold Protocol ?

The New Gold Protocol est un protocole de staking construit sur la blockchain BNB et lancé le 18 septembre.

L’un des problèmes que The New Gold Protocol vise à résoudre est le “manque de règles de tarification”. Selon le livre blanc, de nombreux protocoles DeFi “manquent de mécanismes standardisés pour la tarification des comportements, ce qui entraîne volatilité et désordre”.

Le “DeFi 3.0 de nouvelle génération” New Gold Protocol était censé surpasser les concurrents qui n’ont pas de revenus intrinsèques et dont les modèles de gouvernance sont inefficaces. L’équipe NGP voyait dans l’optimisation par l’IA la voie vers la transparence, l’équité et la durabilité.

The New Gold Protocol s’efforçait de créer une plateforme de staking inclusive avec un environnement transparent et automatisé, maintenu via des smart contracts. Grâce à la destruction de tokens, NGP promouvait son token natif comme déflationniste. Il promettait des distributions de rendement réel au lieu d’incitations inflationnistes et spéculatives. Le livre blanc de NGP suggérait que la transparence garantit la responsabilité. Cependant, cela s’est avéré insuffisant.

Comment NGP a-t-il été piraté ?

Le piratage a eu lieu peu après le lancement du token NGP. La quantité de tokens NGP pouvant être achetée était limitée pour éviter les attaques d’inflation de prix, mais le hacker a trouvé un moyen de contourner cette limite.

Selon les analystes de la société de sécurité blockchain Hacken, six heures avant l’attaque, le hacker a accumulé un grand nombre d’actifs via des prêts flash en utilisant différents comptes. Les prêts flash sont une fonctionnalité populaire sur les plateformes DeFi. Ils permettent d’emprunter rapidement des actifs crypto sans garantie. Les fonds empruntés peuvent être utilisés pour l’arbitrage, le vol de fonds d’un protocole ou la manipulation de prix. Comme le note Hacken, les dégâts causés par les attaques par prêt flash peuvent atteindre plusieurs millions de dollars.

L’attaquant a utilisé une tactique de manipulation d’oracle. Le protocole déterminait le prix du token NGP en scannant ses réserves dans le pool de liquidité du DEX, ce qui a permis à l’attaquant de manipuler le prix. L’attaquant a commencé à échanger du BUSD contre du NGP sur PancakePair, ce qui a rapidement fait grimper le prix du NGP.

The New Gold Protocol comportait deux limites : une limite d’achat et une limite de délai de refroidissement pour les acheteurs. Les deux ont été contournées car l’attaquant a utilisé l’adresse “dEaD” comme destinataire.

L’étape suivante a consisté à vider presque tous les tokens BUSD du protocole en vendant du NGP. Cela a laissé The New Gold Protocol avec presque aucun fonds. L’attaquant a alors obtenu l’équivalent de 1,9 million de dollars en crypto et a immédiatement échangé les fonds contre de l’ETH basé sur BNB.

Selon l’équipe Hacken, les actions suivantes incluaient le dépôt des fonds volés sur Tornado Cash via Ethereum relié à Across. Cette action a fait grimper le prix du NGP tout en ne laissant au protocole qu’une petite quantité de fonds. Rapidement, le prix du token NGP a chuté de 88 %.

Malheureusement, malgré des plans ambitieux pour remodeler le secteur DeFi et construire un produit durable, The New Gold Protocol a négligé sa propre sécurité et a subi de lourds dégâts. L’entreprise n’a pas commenté l’incident. Le dernier tweet indique “stability meets growth”. Il a été publié quelques heures avant l’attaque et ressemble désormais à une amère plaisanterie.

Autres attaques par prêt flash

Dès l’introduction des prêts flash, les attaques par prêt flash sont rapidement devenues l’une des tactiques utilisées par les criminels.

La plus grande attaque a eu lieu en mars 2023. Le hacker a réussi à voler environ 197 millions de dollars en Wrapped Bitcoin, Wrapped Ethereum et autres actifs du protocole Euler Finance. Le hacker exploitait une erreur dans le taux de calcul de la plateforme. Les fonds ont été envoyés à une adresse déjà utilisée par les célèbres hackers nord-coréens, le Lazarus Group. Ce qui a rendu ce cas particulièrement notable, c’est que le hacker a volontairement rendu tous les fonds et s’est excusé.

D’autres exemples notables incluent le piratage de Cream Finance (130 millions de dollars volés en 2021) et Polter (12 millions de dollars volés en 2024). Un prêt flash a fait partie du stratagème utilisé en 2025 pour effacer 223 millions de dollars en crypto du protocole Cetus basé sur Sui.