Ang bagong Gold Protocol ng BNB Chain ay tinamaan ng $2m na pag-hack sa araw ng paglulunsad

Ang AI-driven, self-described na “DeFi 3.0” staking protocol na The New Gold Protocol, na itinayo “na may pagpapanatili bilang pangunahing layunin,” ay na-hack ilang oras lamang matapos ang paglulunsad. Ang pag-hack ay naganap noong Setyembre 18, 2025. Sinamantala ng hacker ang dalawang kahinaan sa disenyo ng NGP. Ipinapakita ng kasong ito kung paano ang kapabayaan sa disenyo ng protocol ay maaaring magdulot ng kapahamakan sa isang proyekto mula pa lamang sa unang araw.

Ano ang New Gold Protocol?

Ang New Gold Protocol ay isang staking protocol na itinayo sa ibabaw ng BNB blockchain at inilunsad noong Setyembre 18.

Isa sa mga problemang nilalayon ng The New Gold Protocol na solusyunan ay ang “kakulangan ng mga patakaran sa pagpepresyo.” Ayon sa whitepaper, maraming DeFi protocols ang “walang standardized na mekanismo para sa behavior pricing, na nagreresulta sa volatility at kaguluhan.”

Ang “next-generation DeFi 3.0” New Gold Protocol ay nilalayong higitan ang mga kakumpitensya na walang intrinsic earnings at may hindi epektibong governance models. Nakita ng NGP team na ang paraan upang makamit ang transparency, fairness, at sustainability ay sa pamamagitan ng AI optimization.

Ang New Gold Protocol ay nagsikap na lumikha ng isang inclusive na staking platform na may transparent at automated na kapaligiran na pinananatili sa pamamagitan ng smart contracts. Dahil sa token burns, ipinromote ng NGP ang kanilang native token bilang deflationary. Nangako ito ng real-yield distributions sa halip na inflationary at speculative incentives. Iminungkahi ng NGP whitepaper na ang transparency ay nagsisiguro ng accountability. Gayunpaman, lumabas na hindi ito sapat.

Paano na-hack ang NGP?

Naganap ang pag-hack ilang sandali matapos ang paglulunsad ng NGP token. Nilimitahan ang dami ng NGP tokens na maaaring bilhin upang maiwasan ang price-inflation attacks, ngunit nakahanap ng paraan ang hacker upang lampasan ito.

Ayon sa mga analyst mula sa blockchain security company na Hacken, anim na oras bago ang pag-atake ay nag-ipon ang hacker ng malaking halaga ng assets sa pamamagitan ng flash loans gamit ang iba't ibang account. Ang flash loans ay isang tampok na popular sa mga DeFi platform. Pinapayagan nitong manghiram ng crypto assets nang mabilis kahit walang collateral. Maaaring gamitin ang hiniram na pondo para sa arbitrage trading, pagnanakaw ng pondo mula sa isang protocol, o price manipulation. Ayon sa Hacken, ang pinsalang dulot ng flash loan attacks ay maaaring umabot sa milyon-milyong dolyar.

Gumamit ang attacker ng oracle-manipulation tactic. Tinukoy ng protocol ang presyo ng NGP token sa pamamagitan ng pag-scan ng reserves nito sa DEX’s liquidity pool, na nagbigay-daan sa attacker upang manipulahin ang presyo. Sinimulan ng attacker ang pag-swap ng BUSD sa NGP sa PancakePair, na nagpaakyat agad ng presyo ng NGP.

Ang New Gold Protocol ay may dalawang limitasyon: isang buying limit at isang cooldown limit para sa mga mamimili. Parehong nalampasan ito ng attacker sa pamamagitan ng paggamit ng “dEaD” address bilang recipient.

Ang susunod na hakbang ay ang pag-drain ng halos lahat ng BUSD tokens mula sa protocol sa pamamagitan ng pagbebenta ng NGP. Naiwan ang The New Gold Protocol na halos walang pondo. Nakakuha ang attacker ng $1.9 milyon na halaga ng crypto at agad na in-swap ang mga pondo sa BNB-based ETH.

Ayon sa Hacken team, ang mga sumunod na aksyon ay kinabibilangan ng pagdeposito ng ninakaw na pondo sa Tornado Cash sa pamamagitan ng Ethereum na na-bridge gamit ang Across. Ang aksyon ay nagpaakyat sa presyo ng NGP habang iniwan ang protocol na may kaunting pondo na lamang. Di nagtagal, bumagsak ng 88% ang presyo ng NGP token.

Sa kasamaang palad, sa kabila ng mga ambisyosong plano na baguhin ang DeFi sector at bumuo ng isang sustainable na produkto, napabayaan ng The New Gold Protocol ang sariling seguridad at nakaranas ng matinding pinsala. Hindi nagbigay ng komento ang kumpanya ukol sa isyu. Ang pinakahuling tweet ay nagsasabing “stability meets growth.” Inilathala ito ilang oras bago ang pag-atake at ngayo’y tila isang mapait na biro.

Iba pang flash loan attacks

Simula nang ipakilala ang flash loans, mabilis na naging isa sa mga taktika ng mga kriminal ang flash loan attacks.

Ang pinakamalaking pag-atake ay naganap noong Marso 2023. Nakapagnakaw ang hacker ng humigit-kumulang $197 milyon sa Wrapped Bitcoin, Wrapped Ethereum, at iba pang assets mula sa Euler Finance protocol. Gumamit ang hacker ng error sa calculation rate ng platform. Ang mga pondo ay ipinadala sa isang address na ginamit na dati ng kilalang DPRK hackers, ang Lazarus Group. Ang naging kapansin-pansin sa kasong ito ay ang boluntaryong pagbabalik ng hacker ng lahat ng pondo at paghingi ng paumanhin.

Kabilang sa iba pang kilalang halimbawa ang Cream Finance hack ($130 milyon ang nanakaw noong 2021) at Polter ($12 milyon ang nanakaw noong 2024). Isang flash loan ang bahagi ng scheme na ginamit noong 2025 upang burahin ang $223 milyon na halaga ng crypto mula sa Cetus protocol na nakabase sa Sui.