Giao thức New Gold bị mất 2 triệu đô la trong vụ hack Price Oracle, token NGP sụp đổ 88%

Ghi chú chính

• Kẻ tấn công đã đánh cắp khoảng 2 triệu đô la giá trị ETH từ New Gold Protocol vào ngày 18 tháng 9.
• Khai thác này liên quan đến một khoản vay nhanh (flash loan) đã thao túng thành công oracle giá, cho phép kẻ tấn công vượt qua các kiểm tra bảo mật trong hợp đồng thông minh.
• Token NGP đã giảm 88% khi kẻ tấn công làm mờ dấu vết tài sản của mình thông qua Tornado Cash.

New Gold Protocol, một dự án staking DeFi, đã mất khoảng 443,8 Ethereum ETH $4 599 biến động 24h: 2,2% Vốn hóa thị trường: $555,19 B Khối lượng 24h: $42,83 B, trị giá 2 triệu đô la, trong một vụ khai thác vào ngày 18 tháng 9. Cuộc tấn công đã khiến token gốc NGP của dự án sụt giảm 88%, xóa sạch phần lớn giá trị thị trường của nó chỉ trong chưa đầy một giờ.

Sự việc đã được cảnh báo bởi nhiều công ty bảo mật blockchain, bao gồm PeckShield và Blockaid. Cả hai công ty đều xác nhận số tiền bị đánh cắp và theo dõi chuyển động của các khoản tiền. Phân tích của Blockaid đã xác định lỗ hổng cụ thể mà kẻ tấn công đã sử dụng.

🚨 Cảnh báo cộng đồng:

Hệ thống phát hiện khai thác của Blockaid đã xác định nhiều giao dịch độc hại nhắm vào token NGP trên BSC.
Khoảng 2 triệu đô la đã bị rút cạn.

↓ Chúng tôi đang theo dõi theo thời gian thực và sẽ chia sẻ các cập nhật bên dưới pic.twitter.com/efxXma0REQ

— Blockaid (@blockaid_) Ngày 17 tháng 9, 2025

Tấn công Flash Loan thao túng Oracle giá

Theo báo cáo của Blockaid, vụ hack là một cuộc tấn công thao túng oracle giá. Hợp đồng thông minh của giao thức có một lỗ hổng nghiêm trọng; nó xác định giá token NGP bằng cách xem xét dự trữ tài sản trong một pool thanh khoản Uniswap duy nhất. Phương pháp này không an toàn vì giá của một pool duy nhất có thể dễ dàng bị thao túng.

Kẻ tấn công đã sử dụng một khoản vay nhanh để vay một lượng lớn tài sản. Flash loan là một chuỗi các giao dịch vay và trả lại khoản vay trong cùng một giao dịch. Họ đã sử dụng các tài sản này để tạm thời làm lệch dự trữ trong pool thanh khoản, đánh lừa giao thức nghĩ rằng token NGP gần như vô giá trị. Điều này cho phép hacker vượt qua giới hạn mua tối đa và mua một lượng lớn token NGP với giá cực thấp.

Các giao dịch tiếp theo trong chuỗi đã đảo ngược giao dịch ban đầu và hoàn trả khoản vay nhanh, giúp hacker thu về lợi nhuận 443,8 ETH. Số tiền này sau đó được chuyển lên mạng Ethereum và gửi vào Tornado Cash để làm mờ dấu vết.

Vụ khai thác này làm nổi bật một số dấu hiệu cảnh báo xung quanh dự án. Không giống như các token hợp pháp đã được kiểm toán, NGP hoạt động với rất ít sự minh bạch và có khối lượng giao dịch cực kỳ thấp. Sự việc này là một phần của xu hướng lớn hơn, khi các báo cáo cho thấy các vụ hack crypto ngày càng gia tăng. Nó cũng làm tăng thêm tranh luận về trách nhiệm của nhà phát triển, một chủ đề mà các công ty crypto kêu gọi các nhà lập pháp cần giải quyết.