Новый протокол Gold на BNB Chain подвергся взлому на 2 миллиона долларов в день запуска

Управляемый искусственным интеллектом, так называемый протокол стейкинга “DeFi 3.0” The New Gold Protocol, построенный “с устойчивостью в основе”, был взломан через несколько часов после запуска. Взлом произошёл 18 сентября 2025 года. Хакер воспользовался двумя уязвимостями в дизайне NGP. Этот случай демонстрирует, как халатность в проектировании протокола может обречь проект с самого первого дня.

Что такое New Gold Protocol?

New Gold Protocol — это протокол стейкинга, построенный на блокчейне BNB и запущенный 18 сентября.

Одна из проблем, которую стремится решить The New Gold Protocol, — это “отсутствие правил ценообразования”. Согласно whitepaper, многие DeFi-протоколы “не имеют стандартизированных механизмов для ценообразования поведения, что приводит к волатильности и беспорядку.”

“Следующее поколение DeFi 3.0” — New Gold Protocol был призван превзойти конкурентов, не имеющих внутренних доходов и неэффективных моделей управления. Команда NGP видела путь к достижению прозрачности, справедливости и устойчивости через оптимизацию с помощью искусственного интеллекта.

New Gold Protocol стремился создать инклюзивную платформу для стейкинга с прозрачной, автоматизированной средой, поддерживаемой смарт-контрактами. Благодаря механизму сжигания токенов, NGP продвигал свой нативный токен как дефляционный. Протокол обещал распределение реальной доходности вместо инфляционных и спекулятивных стимулов. В whitepaper NGP утверждалось, что прозрачность обеспечивает подотчетность. Однако оказалось, что этого недостаточно.

Как был взломан NGP?

Взлом произошёл вскоре после запуска токена NGP. Количество токенов NGP, которые можно было купить, было ограничено для предотвращения атак на инфляцию цены, но хакер нашёл способ обойти это ограничение.

По данным аналитиков компании по безопасности блокчейна Hacken, за шесть часов до атаки хакер накопил большое количество активов с помощью flash loan, используя разные аккаунты. Flash loan — это функция, популярная на DeFi-платформах. Она позволяет быстро брать в долг криптоактивы без залога. Заёмные средства могут использоваться для арбитражной торговли, кражи средств из протокола или манипулирования ценой. Как отмечает Hacken, ущерб от атак с использованием flash loan может достигать миллионов долларов.

Злоумышленник использовал тактику манипулирования оракулом. Протокол определял цену токена NGP, сканируя свои резервы в пуле ликвидности DEX, что позволило атакующему манипулировать ценой. Хакер начал обменивать BUSD на NGP на PancakePair, что быстро взвинтило цену NGP.

В New Gold Protocol было два ограничения: лимит на покупку и лимит на повторную покупку для покупателей. Оба были обойдены, так как злоумышленник использовал адрес “dEaD” в качестве получателя.

Следующим шагом стало выведение практически всех токенов BUSD из протокола путём продажи NGP. Это оставило New Gold Protocol практически без средств. Затем злоумышленник получил криптовалюту на сумму $1,9 миллиона и немедленно обменял средства на ETH на базе BNB.

По данным команды Hacken, последующие действия включали депонирование украденных средств в Tornado Cash через Ethereum, объединённый с Across. Это действие подняло цену NGP, оставив в протоколе лишь небольшое количество средств. Вскоре цена токена NGP обрушилась на 88%.

К сожалению, несмотря на амбициозные планы по преобразованию сектора DeFi и созданию устойчивого продукта, New Gold Protocol пренебрёг собственной безопасностью и понёс серьёзный ущерб. Компания не прокомментировала ситуацию. Последний твит гласит: “стабильность встречает рост”. Он был опубликован за несколько часов до атаки и теперь выглядит как горькая шутка.

Другие атаки с использованием flash loan

Как только появились flash loan, атаки с их использованием быстро стали одним из методов, применяемых преступниками.

Крупнейшая атака произошла в марте 2023 года. Хакеру удалось украсть около $197 миллионов в Wrapped Bitcoin, Wrapped Ethereum и других активах из протокола Euler Finance. Хакер использовал ошибку в расчётной ставке платформы. Средства были отправлены на адрес, ранее использованный известной северокорейской группировкой Lazarus Group. Особенность этого случая в том, что хакер добровольно вернул все средства и извинился.

Другие заметные примеры включают взлом Cream Finance ($130 миллионов украдено в 2021 году) и Polter ($12 миллионов украдено в 2024 году). Flash loan был частью схемы, использованной в 2025 году для вывода $223 миллионов в криптовалюте из протокола Cetus на базе Sui.