Giao thức Gold mới của BNB Chain bị hack 2 triệu đô la ngay trong ngày ra mắt

Giao thức staking “DeFi 3.0” tự mô tả, được điều khiển bởi AI mang tên The New Gold Protocol, được xây dựng “với tính bền vững là cốt lõi,” đã bị hack chỉ vài giờ sau khi ra mắt. Vụ hack xảy ra vào ngày 18 tháng 9 năm 2025. Hacker đã khai thác hai lỗ hổng trong thiết kế của NGP. Trường hợp này cho thấy sự cẩu thả trong thiết kế giao thức có thể khiến một dự án thất bại ngay từ ngày đầu tiên.

New Gold Protocol là gì?

The New Gold Protocol là một giao thức staking được xây dựng trên blockchain BNB và ra mắt vào ngày 18 tháng 9.

Một trong những vấn đề mà The New Gold Protocol hướng tới giải quyết là “thiếu các quy tắc định giá.” Theo whitepaper, nhiều giao thức DeFi “thiếu các cơ chế tiêu chuẩn hóa cho việc định giá hành vi, dẫn đến biến động và hỗn loạn.”

Giao thức “DeFi 3.0 thế hệ tiếp theo” New Gold Protocol được kỳ vọng sẽ vượt trội hơn các đối thủ không có thu nhập nội tại và mô hình quản trị kém hiệu quả. Nhóm NGP cho rằng có thể đạt được tính minh bạch, công bằng và bền vững thông qua tối ưu hóa bằng AI.

The New Gold Protocol đã nỗ lực tạo ra một nền tảng staking toàn diện với môi trường minh bạch, tự động hóa được duy trì thông qua các hợp đồng thông minh. Nhờ việc đốt token, NGP quảng bá token gốc của mình là giảm phát. Dự án hứa hẹn phân phối lợi nhuận thực thay vì các ưu đãi lạm phát và đầu cơ. Whitepaper của NGP cho rằng tính minh bạch đảm bảo trách nhiệm giải trình. Tuy nhiên, điều này hóa ra là chưa đủ.

NGP đã bị hack như thế nào?

Vụ hack xảy ra ngay sau khi token NGP được ra mắt. Số lượng token NGP có thể mua bị giới hạn để ngăn chặn các cuộc tấn công tăng giá, nhưng hacker đã tìm ra cách vượt qua giới hạn này.

Theo các nhà phân tích từ công ty bảo mật blockchain Hacken, sáu giờ trước cuộc tấn công, hacker đã tích lũy một lượng lớn tài sản thông qua flash loan bằng nhiều tài khoản khác nhau. Flash loan là một tính năng phổ biến trên các nền tảng DeFi. Chúng cho phép vay tài sản mã hóa nhanh chóng mà không cần tài sản thế chấp. Số tiền vay có thể được sử dụng cho giao dịch chênh lệch giá, đánh cắp tài sản từ một giao thức hoặc thao túng giá. Như Hacken lưu ý, thiệt hại do các cuộc tấn công flash loan có thể lên tới hàng triệu đô la.

Kẻ tấn công đã sử dụng chiến thuật thao túng oracle. Giao thức xác định giá token NGP bằng cách quét dự trữ trong pool thanh khoản của DEX, điều này cho phép kẻ tấn công thao túng giá. Hacker bắt đầu hoán đổi BUSD sang NGP trên PancakePair, khiến giá NGP tăng vọt nhanh chóng.

The New Gold Protocol có hai giới hạn: giới hạn mua và giới hạn thời gian chờ cho người mua. Cả hai đều bị vượt qua khi hacker sử dụng địa chỉ “dEaD” làm người nhận.

Bước tiếp theo là rút gần như toàn bộ token BUSD khỏi giao thức thông qua việc bán NGP. Điều này khiến The New Gold Protocol gần như không còn quỹ. Hacker sau đó đã thu về số tiền mã hóa trị giá 1,9 triệu đô la và ngay lập tức hoán đổi số tiền này sang ETH dựa trên BNB.

Theo nhóm Hacken, các hành động tiếp theo bao gồm gửi số tiền bị đánh cắp vào Tornado Cash thông qua Ethereum được bridge với Across. Hành động này đã đẩy giá NGP lên trong khi giao thức chỉ còn lại một lượng nhỏ quỹ. Ngay sau đó, giá token NGP đã giảm 88%.

Đáng tiếc, mặc dù có những kế hoạch đầy tham vọng nhằm tái định hình lĩnh vực DeFi và xây dựng một sản phẩm bền vững, The New Gold Protocol đã bỏ qua vấn đề bảo mật của chính mình và phải chịu thiệt hại nghiêm trọng. Công ty không đưa ra bình luận về sự việc. Dòng tweet mới nhất ghi “ổn định gặp tăng trưởng.” Nó được đăng vài giờ trước vụ tấn công và giờ đây trông như một trò đùa cay đắng.

Các cuộc tấn công flash loan khác

Ngay khi flash loan được giới thiệu, các cuộc tấn công flash loan nhanh chóng trở thành một trong những chiến thuật được tội phạm sử dụng.

Cuộc tấn công lớn nhất diễn ra vào tháng 3 năm 2023. Hacker đã đánh cắp khoảng 197 triệu đô la trong Wrapped Bitcoin, Wrapped Ethereum và các tài sản khác từ giao thức Euler Finance. Hacker đã sử dụng một lỗi trong tỷ lệ tính toán của nền tảng. Số tiền bị đánh cắp được gửi đến một địa chỉ từng được sử dụng bởi nhóm hacker khét tiếng DPRK, Lazarus Group. Điều làm cho trường hợp này đặc biệt đáng chú ý là hacker đã tự nguyện trả lại toàn bộ số tiền và xin lỗi.

Các ví dụ đáng chú ý khác bao gồm vụ hack Cream Finance (130 triệu đô la bị đánh cắp vào năm 2021) và Polter (12 triệu đô la bị đánh cắp vào năm 2024). Flash loan cũng là một phần của kế hoạch được sử dụng vào năm 2025 để lấy đi 223 triệu đô la tiền mã hóa từ giao thức Cetus dựa trên Sui.