Nuevo protocolo Gold de BNB Chain sufre un hackeo de 2 millones de dólares en su día de lanzamiento

El protocolo de staking autodenominado “DeFi 3.0” impulsado por IA, The New Gold Protocol, construido “con la sostenibilidad como eje central”, fue hackeado a pocas horas de su lanzamiento. El hackeo ocurrió el 18 de septiembre de 2025. El hacker explotó dos fallas en el diseño de NGP. Este caso demuestra cómo la negligencia en el diseño de un protocolo puede condenar un proyecto desde el primer día.

¿Qué es New Gold Protocol?

New Gold Protocol es un protocolo de staking construido sobre la blockchain de BNB y lanzado el 18 de septiembre.

Uno de los problemas que New Gold Protocol busca resolver es la “falta de reglas de precios”. Según el whitepaper, muchos protocolos DeFi “carecen de mecanismos estandarizados para la fijación de precios de comportamientos, lo que resulta en volatilidad y desorden”.

El “DeFi 3.0 de próxima generación” New Gold Protocol estaba destinado a superar a los competidores que no tienen ingresos intrínsecos y cuyos modelos de gobernanza son ineficientes. El equipo de NGP vio el camino hacia la transparencia, equidad y sostenibilidad a través de la optimización con IA.

New Gold Protocol buscaba crear una plataforma de staking inclusiva con un entorno transparente y automatizado sostenido mediante smart contracts. Debido a la quema de tokens, NGP promovía su token nativo como deflacionario. Prometía distribuciones de rendimientos reales en lugar de incentivos inflacionarios y especulativos. El whitepaper de NGP sugería que la transparencia garantiza la rendición de cuentas. Sin embargo, resultó que esto no fue suficiente.

¿Cómo fue hackeado NGP?

El hackeo ocurrió poco después del lanzamiento del token NGP. La cantidad de tokens NGP que se podía comprar estaba limitada para prevenir ataques de inflación de precios, pero el hacker encontró la manera de eludir esta restricción.

Según analistas de la empresa de seguridad blockchain Hacken, seis horas antes del ataque el hacker acumuló una gran cantidad de activos mediante préstamos flash utilizando diferentes cuentas. Los préstamos flash son una característica popular en las plataformas DeFi. Permiten pedir prestados criptoactivos rápidamente sin necesidad de colateral. Los fondos tomados pueden usarse para trading de arbitraje, robo de fondos de un protocolo o manipulación de precios. Como señala Hacken, los daños causados por ataques de préstamos flash pueden alcanzar millones de dólares.

El atacante utilizó una táctica de manipulación de oráculos. El protocolo determinaba el precio del token NGP escaneando sus reservas en el pool de liquidez del DEX, lo que permitió al atacante manipular el precio. El atacante comenzó a intercambiar BUSD por NGP en PancakePair, lo que hizo que el precio de NGP subiera rápidamente.

New Gold Protocol tenía dos límites: un límite de compra y un límite de enfriamiento para los compradores. Ambos fueron eludidos ya que el atacante usó la dirección “dEaD” como destinatario.

El siguiente paso fue drenar casi todos los tokens BUSD del protocolo vendiendo NGP. Esto dejó a New Gold Protocol prácticamente sin fondos. El atacante luego obtuvo criptomonedas por un valor de 1.9 millones de dólares y de inmediato intercambió los fondos por ETH basado en BNB.

Según el equipo de Hacken, las acciones siguientes incluyeron depositar los fondos robados en Tornado Cash a través de Ethereum puenteado con Across. Esta acción hizo que el precio de NGP subiera mientras dejaba al protocolo con solo una pequeña cantidad de fondos. Pronto, el precio del token NGP se desplomó un 88%.

Lamentablemente, a pesar de los ambiciosos planes para transformar el sector DeFi y construir un producto sostenible, New Gold Protocol descuidó su propia seguridad y sufrió graves daños. La empresa no hizo comentarios sobre el incidente. El último tuit dice “la estabilidad se encuentra con el crecimiento”. Fue publicado varias horas antes del ataque y ahora parece una amarga ironía.

Otros ataques de préstamos flash

Tan pronto como se introdujeron los préstamos flash, los ataques de este tipo se convirtieron rápidamente en una de las tácticas preferidas por los delincuentes.

El mayor ataque ocurrió en marzo de 2023. El hacker logró robar alrededor de 197 millones de dólares en Wrapped Bitcoin, Wrapped Ethereum y otros activos del protocolo Euler Finance. El hacker aprovechó un error en la tasa de cálculo de la plataforma. Los fondos fueron enviados a una dirección utilizada anteriormente por los notorios hackers de la RPDC, el Lazarus Group. Lo que hizo especialmente notable este caso es que el hacker devolvió voluntariamente todos los fondos y pidió disculpas.

Otros ejemplos destacados incluyen el hackeo a Cream Finance (130 millones de dólares robados en 2021) y Polter (12 millones de dólares robados en 2024). Un préstamo flash fue parte del esquema utilizado en 2025 para sustraer 223 millones de dólares en criptomonedas del protocolo Cetus basado en Sui.