Il nuovo Gold Protocol di BNB Chain colpito da un hack da 2 milioni di dollari nel giorno del lancio

Il protocollo di staking “DeFi 3.0” guidato dall’AI, autodefinito The New Gold Protocol e costruito “con la sostenibilità al centro”, è stato hackerato poche ore dopo il lancio. L’attacco è avvenuto il 18 settembre 2025. L’hacker ha sfruttato due falle nel design di NGP. Il caso dimostra come la negligenza nella progettazione di un protocollo possa condannare un progetto fin dal primo giorno.

Cos’è New Gold Protocol?

New Gold Protocol è un protocollo di staking costruito sulla blockchain BNB e lanciato il 18 settembre.

Uno dei problemi che The New Gold Protocol mira a risolvere è la “mancanza di regole di pricing”. Secondo il whitepaper, molti protocolli DeFi “mancano di meccanismi standardizzati per il pricing dei comportamenti, causando volatilità e disordine.”

Il “DeFi 3.0 di nuova generazione” New Gold Protocol era pensato per superare i concorrenti che non hanno guadagni intrinseci e i cui modelli di governance sono inefficienti. Il team NGP vedeva nell’ottimizzazione tramite AI la strada per raggiungere trasparenza, equità e sostenibilità.

New Gold Protocol puntava a creare una piattaforma di staking inclusiva con un ambiente trasparente e automatizzato sostenuto da smart contract. Grazie ai token burn, NGP promuoveva il proprio token nativo come deflazionistico. Prometteva distribuzioni di real-yield invece di incentivi inflazionistici e speculativi. Il whitepaper di NGP suggeriva che la trasparenza garantisce la responsabilità. Tuttavia, si è scoperto che non era sufficiente.

Come è stato hackerato NGP?

L’attacco è avvenuto poco dopo il lancio del token NGP. La quantità di token NGP acquistabili era limitata per prevenire attacchi di price-inflation, ma l’hacker ha trovato un modo per aggirare la restrizione.

Secondo gli analisti della società di sicurezza blockchain Hacken, sei ore prima dell’attacco l’hacker aveva accumulato un gran numero di asset tramite flash loan usando diversi account. I flash loan sono una funzione popolare sulle piattaforme DeFi. Permettono di prendere in prestito rapidamente asset crypto senza collateral. I fondi presi in prestito possono essere usati per arbitraggio, furto di fondi da un protocollo o manipolazione dei prezzi. Come nota Hacken, i danni causati dagli attacchi flash loan possono ammontare a milioni di dollari.

L’attaccante ha utilizzato una tattica di manipolazione dell’oracolo. Il protocollo determinava il prezzo del token NGP scansionando le sue riserve nel liquidity pool del DEX, il che ha permesso all’attaccante di manipolare il prezzo. L’attaccante ha iniziato a scambiare BUSD con NGP su PancakePair, facendo salire rapidamente il prezzo di NGP.

New Gold Protocol prevedeva due limiti: un limite di acquisto e un limite di cooldown per gli acquirenti. Entrambi sono stati aggirati poiché l’attaccante ha utilizzato l’indirizzo “dEaD” come destinatario.

La mossa successiva è stata quella di svuotare quasi tutti i token BUSD dal protocollo vendendo NGP. Questo ha lasciato New Gold Protocol con quasi nessun fondo. L’attaccante ha quindi ottenuto crypto per un valore di 1,9 milioni di dollari e ha immediatamente convertito i fondi in ETH basato su BNB.

Secondo il team Hacken, le azioni successive hanno incluso il deposito dei fondi rubati su Tornado Cash tramite Ethereum bridge con Across. L’azione ha fatto salire il prezzo di NGP lasciando però il protocollo con solo una piccola quantità di fondi. Poco dopo, il prezzo del token NGP è crollato dell’88%.

Purtroppo, nonostante i piani ambiziosi per rimodellare il settore DeFi e costruire un prodotto sostenibile, New Gold Protocol ha trascurato la propria sicurezza e ha subito gravi danni. L’azienda non ha commentato la vicenda. L’ultimo tweet recita “stabilità incontra crescita”. È stato pubblicato poche ore prima dell’attacco e ora suona come una beffa amara.

Altri attacchi flash loan

Non appena sono stati introdotti i flash loan, gli attacchi flash loan sono rapidamente diventati una delle tattiche utilizzate dai criminali.

L’attacco più grande è avvenuto a marzo 2023. L’hacker è riuscito a rubare circa 197 milioni di dollari in Wrapped Bitcoin, Wrapped Ethereum e altri asset dal protocollo Euler Finance. L’hacker stava sfruttando un errore nel tasso di calcolo della piattaforma. I fondi sono stati inviati a un indirizzo già utilizzato in precedenza dai famigerati hacker della DPRK, il Lazarus Group. Ciò che ha reso questo caso particolarmente degno di nota è che l’hacker ha restituito volontariamente tutti i fondi e si è scusato.

Altri esempi notevoli includono l’hack di Cream Finance (130 milioni di dollari rubati nel 2021) e Polter (12 milioni di dollari rubati nel 2024). Un flash loan ha fatto parte dello schema utilizzato nel 2025 per sottrarre 223 milioni di dollari in crypto dal protocollo Cetus basato su Sui.