Points clés
- L’attaquant a dérobé environ 2 millions de dollars en ETH au protocole New Gold Protocol le 18 septembre.
- L’exploit impliquait un flash loan qui a permis de manipuler l’oracle de prix, permettant à l’attaquant de contourner les contrôles de sécurité du smart contract.
- Le token NGP a chuté de 88 % alors que l’attaquant dissimule ses fonds via Tornado Cash.
New Gold Protocol, un projet DeFi de staking, a perdu environ 443,8 Ethereum ETH $4 599 volatilité 24h : 2,2 % Capitalisation boursière : $555,19 B Volume 24h : $42,83 B , d’une valeur de 2 millions de dollars, lors d’un exploit le 18 septembre. L’attaque a provoqué l’effondrement du token natif NGP de 88 %, anéantissant la majeure partie de sa valeur marchande en moins d’une heure.
L’incident a été signalé par plusieurs sociétés de sécurité blockchain, dont PeckShield et Blockaid. Les deux sociétés ont confirmé le montant volé et suivi le mouvement des fonds. L’analyse de Blockaid a identifié la vulnérabilité spécifique exploitée par l’attaquant.
🚨 Alerte à la communauté :
Le système de détection d’exploit de Blockaid a identifié plusieurs transactions malveillantes ciblant le token NGP sur BSC.
Environ 2 millions de dollars ont été drainés.↓ Nous surveillons en temps réel et partagerons les mises à jour ci-dessous pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 septembre 2025
Attaque par flash loan ayant manipulé l’oracle de prix
Selon le rapport de Blockaid, le piratage était une attaque de manipulation d’oracle de prix. Le smart contract du protocole comportait une faille critique : il déterminait le prix du token NGP en se basant sur les réserves d’actifs d’un seul pool de liquidité Uniswap. Cette méthode est peu sécurisée car le prix d’un seul pool peut être facilement manipulé.
L’attaquant a utilisé un flash loan pour emprunter une grande quantité d’actifs. Un flash loan consiste en une série de transactions qui empruntent et remboursent un prêt au sein de la même transaction. Il a utilisé ces actifs pour fausser temporairement les réserves du pool de liquidité, trompant le protocole en lui faisant croire que le token NGP ne valait presque rien. Cela a permis au hacker de contourner une limite d’achat maximale et d’acquérir un grand nombre de tokens NGP à des prix dérisoires.
Les transactions suivantes dans la chaîne ont inversé la transaction initiale et remboursé le flash loan, permettant au hacker de réaliser un bénéfice de 443,8 ETH. Les fonds ont ensuite été transférés sur le réseau Ethereum et déposés dans le mixeur Tornado Cash afin de brouiller les traces.
Cet exploit met en lumière plusieurs signaux d’alerte entourant le projet. Contrairement aux tokens légitimes et audités, NGP fonctionnait avec très peu de transparence et souffrait d’un volume d’échanges extrêmement faible. Cet incident s’inscrit dans une tendance plus large, les rapports montrant que les piratages crypto sont de plus en plus fréquents. Il alimente également le débat sur la responsabilité des développeurs, un sujet que les entreprises crypto exhortent les législateurs à traiter.
next
