Kluczowe informacje
- Atakujący ukradł około 2 miliony dolarów w ETH z New Gold Protocol 18 września.
- Wykorzystanie polegało na użyciu flash loan, który skutecznie zmanipulował wyrocznię cenową, umożliwiając atakującemu ominięcie zabezpieczeń w smart kontrakcie.
- Token NGP spadł o 88%, podczas gdy atakujący ukrywa swoje środki przez Tornado Cash.
New Gold Protocol, projekt stakingowy DeFi, stracił około 443,8 Ethereum ETH $4 599 24h zmienność: 2,2% Kapitalizacja rynkowa: $555,19 B Wolumen 24h: $42,83 B , o wartości 2 milionów dolarów, w wyniku ataku 18 września. Atak spowodował, że natywny token projektu NGP spadł o 88%, tracąc większość swojej wartości rynkowej w mniej niż godzinę.
Incydent został zgłoszony przez kilka firm zajmujących się bezpieczeństwem blockchain, w tym PeckShield i Blockaid. Obie firmy potwierdziły skradzioną kwotę i śledziły ruch środków. Analiza Blockaid zidentyfikowała konkretną lukę, którą wykorzystał atakujący.
🚨 Alert dla społeczności:
System wykrywania exploitów Blockaid zidentyfikował wiele złośliwych transakcji wymierzonych w token NGP na BSC.
Około 2 miliony dolarów zostało wyprowadzone.↓ Monitorujemy sytuację na bieżąco i będziemy udostępniać aktualizacje poniżej pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 września 2025
Atak flash loan zmanipulował wyrocznię cenową
Zgodnie z raportem Blockaid, atak był manipulacją wyroczni cenowej. Smart kontrakt protokołu miał krytyczną lukę; określał cenę tokena NGP na podstawie rezerw aktywów w jednej puli płynności Uniswap. Ta metoda jest niebezpieczna, ponieważ cenę w pojedynczej puli można łatwo zmanipulować.
Atakujący użył flash loan, aby pożyczyć dużą ilość aktywów. Flash loan to seria transakcji, które pożyczają i zwracają środki w ramach tej samej transakcji. Użyli tych aktywów, aby tymczasowo zaburzyć rezerwy w puli płynności, oszukując protokół, by myślał, że token NGP jest prawie bezwartościowy. Pozwoliło to hakerowi ominąć maksymalny limit zakupu i kupić ogromną liczbę tokenów NGP po minimalnych cenach.
Kolejne transakcje w łańcuchu odwróciły początkowy handel i spłaciły flash loan, zapewniając hakerowi zysk w wysokości 443,8 ETH. Środki zostały następnie przeniesione do sieci Ethereum i zdeponowane w mikserze Torando Cash, aby ukryć ślad.
Ten exploit podkreśla kilka czerwonych flag otaczających projekt. W przeciwieństwie do legalnych, audytowanych tokenów, NGP działał z niewielką przejrzystością i borykał się z bardzo niskim wolumenem obrotu. Ten incydent wpisuje się w szerszy schemat, ponieważ raporty pokazują, że liczba ataków na kryptowaluty rośnie. Dodaje to również do debaty na temat odpowiedzialności deweloperów, temat, który firmy kryptowalutowe zachęcają ustawodawców do podjęcia.
next
