BNB Chain新Gold Protocol於上線首日遭遇200萬美元駭客攻擊

AI驅動、自稱為「DeFi 3.0」的質押協議The New Gold Protocol，標榜「以可持續性為核心」建構，但在上線數小時後即遭駭客攻擊。該事件發生於2025年9月18日。駭客利用了NGP設計中的兩個漏洞。此案例顯示，協議設計上的疏忽可能從第一天起就注定了一個項目的失敗。

什麼是New Gold Protocol？

New Gold Protocol是一個建立於BNB區塊鏈上的質押協議，於9月18日上線。

New Gold Protocol試圖解決的問題之一是「缺乏定價規則」。根據白皮書，許多DeFi協議「缺乏行為定價的標準化機制，導致波動和混亂」。

這個「新一代DeFi 3.0」的New Gold Protocol旨在超越那些沒有內在收益、治理模式低效的競爭對手。NGP團隊認為，通過AI優化可以實現透明、公平和可持續性。

New Gold Protocol致力於打造一個包容性的質押平台，擁有透明、自動化且由智能合約維持的環境。由於代幣銷毀機制，NGP將其原生代幣宣傳為通縮型。它承諾提供真實收益分配，而非通脹性和投機性激勵。NGP白皮書指出，透明度確保了問責制。然而，事實證明這還不夠。

NGP是如何被駭的？

駭客攻擊發生在NGP代幣剛上線不久。為防止價格通脹攻擊，NGP代幣的購買數量被設有限制，但駭客找到了繞過的方法。

根據區塊鏈安全公司Hacken的分析，攻擊發生前六小時，駭客通過不同帳戶利用閃電貸積累了大量資產。閃電貸是DeFi平台上一種流行功能，允許無需抵押即可快速借入加密資產。借來的資金可用於套利交易、竊取協議資金或操縱價格。正如Hacken所指出，閃電貸攻擊造成的損失可能高達數百萬美元。

攻擊者採用了預言機操縱策略。該協議通過掃描DEX流動性池中的儲備來確定NGP代幣價格，這讓攻擊者能夠操縱價格。攻擊者開始在PancakePair上將BUSD兌換為NGP，迅速推高了NGP的價格。

New Gold Protocol設有兩項限制：購買上限和買家冷卻期限制。但攻擊者利用「dEaD」地址作為接收方，成功繞過了這兩項限制。

接下來，攻擊者通過出售NGP幾乎抽乾了協議中的所有BUSD代幣，導致New Gold Protocol幾乎資金耗盡。攻擊者隨後獲得價值190萬美元的加密貨幣，並立即將資金兌換為基於BNB的ETH。

根據Hacken團隊的說法，隨後的行動包括通過Across橋接的Ethereum將被盜資金存入Tornado Cash。這一行動推高了NGP價格，同時讓協議只剩下少量資金。不久後，NGP代幣價格暴跌88%。

遺憾的是，儘管New Gold Protocol有雄心壯志要重塑DeFi領域並打造可持續產品，但卻忽略了自身安全，最終遭受重創。公司對此事未發表評論。最新一條推文寫道「穩定遇上成長」，該推文發佈於攻擊發生前數小時，如今看來成了一個苦澀的笑話。

其他閃電貸攻擊

自閃電貸推出以來，閃電貸攻擊很快成為犯罪分子常用的手段之一。

最大規模的攻擊發生在2023年3月。駭客從Euler Finance協議中竊取了約1.97億美元的Wrapped Bitcoin、Wrapped Ethereum及其他資產。駭客利用了平台計算利率的錯誤。資金被轉移到臭名昭著的朝鮮駭客組織Lazarus Group曾用過的地址。此案特別引人注目的是，駭客自願歸還了所有資金並道歉。

其他值得注意的案例包括Cream Finance（2021年被盜1.3億美元）和Polter（2024年被盜1200萬美元）。2025年，閃電貸也被用於攻擊Sui上的Cetus協議，造成2.23億美元加密貨幣損失。