Nowy protokół Gold stracił 2 mln USD w wyniku ataku na oracle cenowe, token NGP spadł o 88%

Kluczowe informacje

• Atakujący ukradł około 2 miliony dolarów w ETH z New Gold Protocol 18 września.
• Wykorzystanie polegało na użyciu flash loan, który skutecznie zmanipulował wyrocznię cenową, umożliwiając atakującemu ominięcie zabezpieczeń w smart kontrakcie.
• Token NGP spadł o 88%, podczas gdy atakujący ukrywa swoje środki przez Tornado Cash.

New Gold Protocol, projekt stakingowy DeFi, stracił około 443,8 Ethereum ETH $4 599 24h zmienność: 2,2% Kapitalizacja rynkowa: $555,19 B Wolumen 24h: $42,83 B , o wartości 2 milionów dolarów, w wyniku ataku 18 września. Atak spowodował, że natywny token projektu NGP spadł o 88%, tracąc większość swojej wartości rynkowej w mniej niż godzinę.

Incydent został zgłoszony przez kilka firm zajmujących się bezpieczeństwem blockchain, w tym PeckShield i Blockaid. Obie firmy potwierdziły skradzioną kwotę i śledziły ruch środków. Analiza Blockaid zidentyfikowała konkretną lukę, którą wykorzystał atakujący.

🚨 Alert dla społeczności:

System wykrywania exploitów Blockaid zidentyfikował wiele złośliwych transakcji wymierzonych w token NGP na BSC.
Około 2 miliony dolarów zostało wyprowadzone.

↓ Monitorujemy sytuację na bieżąco i będziemy udostępniać aktualizacje poniżej pic.twitter.com/efxXma0REQ

— Blockaid (@blockaid_) 17 września 2025

Atak flash loan zmanipulował wyrocznię cenową

Zgodnie z raportem Blockaid, atak był manipulacją wyroczni cenowej. Smart kontrakt protokołu miał krytyczną lukę; określał cenę tokena NGP na podstawie rezerw aktywów w jednej puli płynności Uniswap. Ta metoda jest niebezpieczna, ponieważ cenę w pojedynczej puli można łatwo zmanipulować.

Atakujący użył flash loan, aby pożyczyć dużą ilość aktywów. Flash loan to seria transakcji, które pożyczają i zwracają środki w ramach tej samej transakcji. Użyli tych aktywów, aby tymczasowo zaburzyć rezerwy w puli płynności, oszukując protokół, by myślał, że token NGP jest prawie bezwartościowy. Pozwoliło to hakerowi ominąć maksymalny limit zakupu i kupić ogromną liczbę tokenów NGP po minimalnych cenach.

Kolejne transakcje w łańcuchu odwróciły początkowy handel i spłaciły flash loan, zapewniając hakerowi zysk w wysokości 443,8 ETH. Środki zostały następnie przeniesione do sieci Ethereum i zdeponowane w mikserze Torando Cash, aby ukryć ślad.

Ten exploit podkreśla kilka czerwonych flag otaczających projekt. W przeciwieństwie do legalnych, audytowanych tokenów, NGP działał z niewielką przejrzystością i borykał się z bardzo niskim wolumenem obrotu. Ten incydent wpisuje się w szerszy schemat, ponieważ raporty pokazują, że liczba ataków na kryptowaluty rośnie. Dodaje to również do debaty na temat odpowiedzialności deweloperów, temat, który firmy kryptowalutowe zachęcają ustawodawców do podjęcia.