Notas clave
- El atacante robó aproximadamente $2 millones en ETH del New Gold Protocol el 18 de septiembre.
- El exploit involucró un flash loan que manipuló con éxito el price oracle, permitiendo al atacante eludir los controles de seguridad en el smart contract.
- El token NGP ha caído un 88% mientras el atacante oculta sus fondos a través de Tornado Cash.
New Gold Protocol, un proyecto DeFi de staking, perdió alrededor de 443.8 Ethereum ETH $4 599 volatilidad 24h: 2.2% Capitalización de mercado: $555.19 B Vol. 24h: $42.83 B , valorados en $2 millones, en un exploit el 18 de septiembre. El ataque provocó que el token nativo del proyecto, NGP, se desplomara un 88%, eliminando la mayor parte de su valor de mercado en menos de una hora.
El incidente fue señalado por varias firmas de seguridad blockchain, incluyendo PeckShield y Blockaid. Ambas firmas confirmaron la cantidad robada y rastrearon el movimiento de los fondos. El análisis de Blockaid identificó la vulnerabilidad específica que utilizó el atacante.
🚨 Alerta a la comunidad:
El sistema de detección de exploits de Blockaid identificó múltiples transacciones maliciosas dirigidas al token NGP en BSC.
Aproximadamente $2M han sido drenados.↓ Estamos monitoreando en tiempo real y compartiremos actualizaciones abajo pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 de septiembre de 2025
Ataque de Flash Loan manipuló el Price Oracle
Según el informe de Blockaid, el hackeo fue un ataque de manipulación del price oracle. El smart contract del protocolo tenía una falla crítica; determinaba el precio del token NGP observando las reservas de activos en un solo pool de liquidez de Uniswap. Este método es inseguro porque el precio de un solo pool puede ser manipulado fácilmente.
El atacante utilizó un flash loan para pedir prestada una gran cantidad de activos. Un flash loan consiste en una serie de transacciones que toman y devuelven un préstamo dentro de la misma transacción. Utilizaron estos activos para distorsionar temporalmente las reservas en el pool de liquidez, engañando al protocolo para que pensara que el token NGP valía casi nada. Esto permitió al hacker eludir un límite máximo de compra y adquirir una gran cantidad de tokens NGP a precios mínimos.
Las siguientes transacciones en la cadena revirtieron la operación inicial y devolvieron el flash loan, obteniendo el hacker una ganancia de 443.8 ETH. Luego, los fondos fueron transferidos a la red Ethereum y depositados en el mezclador Torando Cash para ocultar el rastro.
Este exploit resalta varias señales de alerta que rodeaban al proyecto. A diferencia de los tokens legítimos y auditados, NGP operaba con poca transparencia y sufría de un volumen de negociación extremadamente bajo. Este incidente forma parte de un patrón más amplio, ya que los informes muestran que los hackeos en criptomonedas están aumentando en frecuencia. También suma al debate sobre la responsabilidad de los desarrolladores, un tema que las empresas cripto instan a los legisladores a abordar.
next
