Il New Gold Protocol perde 2 milioni di dollari in un attacco al price oracle, il token NGP crolla dell'88%

Punti Chiave

• L'attaccante ha rubato circa 2 milioni di dollari in ETH dal New Gold Protocol il 18 settembre.
• L'exploit ha coinvolto un flash loan che ha manipolato con successo l'oracolo dei prezzi, permettendo all'attaccante di bypassare i controlli di sicurezza nello smart contract.
• Il token NGP è sceso dell'88% mentre l'attaccante offusca i suoi fondi tramite Tornado Cash.

New Gold Protocol, un progetto DeFi di staking, ha perso circa 443,8 Ethereum ETH $4 599 volatilità 24h: 2,2% Market cap: $555,19 B Vol. 24h: $42,83 B , per un valore di 2 milioni di dollari, a seguito di un exploit il 18 settembre. L'attacco ha causato il crollo del token nativo NGP dell'88%, cancellando la maggior parte del suo valore di mercato in meno di un'ora.

L'incidente è stato segnalato da diverse società di sicurezza blockchain, tra cui PeckShield e Blockaid. Entrambe le società hanno confermato l'importo rubato e tracciato il movimento dei fondi. L'analisi di Blockaid ha identificato la vulnerabilità specifica utilizzata dall'attaccante.

🚨 Avviso alla Community:

Il sistema di rilevamento exploit di Blockaid ha identificato molteplici transazioni malevole che prendevano di mira il token NGP su BSC.
Circa 2 milioni di dollari sono stati sottratti.

↓ Stiamo monitorando in tempo reale e condivideremo aggiornamenti qui sotto pic.twitter.com/efxXma0REQ

— Blockaid (@blockaid_) 17 settembre 2025

Attacco Flash Loan Ha Manipolato l'Oracolo dei Prezzi

Secondo il report di Blockaid, l'hack è stato un attacco di manipolazione dell'oracolo dei prezzi. Lo smart contract del protocollo presentava una falla critica: determinava il prezzo del token NGP osservando le riserve di asset in un singolo pool di liquidità su Uniswap. Questo metodo è insicuro perché il prezzo di un singolo pool può essere facilmente manipolato.

L'attaccante ha utilizzato un flash loan per prendere in prestito una grande quantità di asset. Un flash loan consiste in una serie di transazioni che prendono in prestito e restituiscono un prestito all'interno della stessa transazione. Ha utilizzato questi asset per alterare temporaneamente le riserve nel pool di liquidità, ingannando il protocollo facendogli credere che il token NGP fosse quasi privo di valore. Questo ha permesso all'hacker di bypassare il limite massimo di acquisto e comprare una grande quantità di token NGP a prezzi minimi.

Le transazioni successive nella catena hanno invertito lo scambio iniziale e rimborsato il flash loan, consentendo all'hacker di ottenere un profitto di 443,8 ETH. I fondi sono stati poi trasferiti sulla rete Ethereum e depositati nel mixer Torando Cash per offuscare le tracce.

Questo exploit mette in evidenza diversi segnali d'allarme che circondavano il progetto. A differenza dei token legittimi e sottoposti ad audit, NGP operava con poca trasparenza ed era afflitto da un volume di scambi estremamente basso. Questo incidente fa parte di un modello più ampio, poiché i report mostrano che gli hack nel settore crypto sono sempre più frequenti. Inoltre, alimenta il dibattito sulla responsabilità degli sviluppatori, un tema che le aziende crypto sollecitano i legislatori ad affrontare.