Nowy protokół Gold Protocol na BNB Chain został zaatakowany podczas dnia premiery, tracąc 2 miliony dolarów

AI-napędzany, określany jako „DeFi 3.0” protokół stakingowy The New Gold Protocol, zbudowany „zrównoważony u podstaw”, został zhakowany kilka godzin po uruchomieniu. Atak miał miejsce 18 września 2025 roku. Haker wykorzystał dwie luki w projekcie NGP. Przypadek ten pokazuje, jak zaniedbania w projektowaniu protokołu mogą skazać projekt na porażkę już od pierwszego dnia.

Czym jest New Gold Protocol?

New Gold Protocol to protokół stakingowy zbudowany na blockchainie BNB, uruchomiony 18 września.

Jednym z problemów, które New Gold Protocol stara się rozwiązać, jest „brak zasad wyceny”. Według whitepapera, wiele protokołów DeFi „nie posiada ustandaryzowanych mechanizmów wyceny zachowań, co prowadzi do zmienności i chaosu”.

„Nowej generacji DeFi 3.0” New Gold Protocol miał przewyższyć konkurentów, którzy nie mają wewnętrznych zysków, a ich modele zarządzania są nieefektywne. Zespół NGP widział drogę do osiągnięcia przejrzystości, sprawiedliwości i zrównoważonego rozwoju poprzez optymalizację AI.

New Gold Protocol dążył do stworzenia inkluzywnej platformy stakingowej z przejrzystym, zautomatyzowanym środowiskiem utrzymywanym przez smart kontrakty. Dzięki spalaniu tokenów, NGP promował swój natywny token jako deflacyjny. Obiecywał rzeczywiste dystrybucje zysków zamiast inflacyjnych i spekulacyjnych zachęt. Whitepaper NGP sugerował, że przejrzystość zapewnia odpowiedzialność. Okazało się jednak, że to nie wystarczyło.

Jak doszło do ataku na NGP?

Atak miał miejsce krótko po uruchomieniu tokena NGP. Ilość tokenów NGP, które można było kupić, była ograniczona, aby zapobiec atakom na wzrost ceny, jednak haker znalazł sposób, by to obejść.

Zgodnie z analizą firmy zajmującej się bezpieczeństwem blockchain Hacken, sześć godzin przed atakiem haker zgromadził dużą liczbę aktywów poprzez flash loan, używając różnych kont. Flash loan to popularna funkcja na platformach DeFi. Pozwala na szybkie pożyczanie kryptowalut bez zabezpieczenia. Pożyczone środki mogą być użyte do arbitrażu, kradzieży środków z protokołu lub manipulacji ceną. Jak zauważa Hacken, szkody spowodowane przez ataki typu flash loan mogą sięgać milionów dolarów.

Atakujący użył taktyki manipulacji oraclem. Protokół ustalał cenę tokena NGP poprzez skanowanie swoich rezerw w puli płynności DEX, co pozwoliło atakującemu na manipulację ceną. Atakujący zaczął wymieniać BUSD na NGP na PancakePair, co szybko podbiło cenę NGP.

New Gold Protocol posiadał dwa limity: limit zakupu oraz limit cooldown dla kupujących. Oba zostały ominięte, ponieważ atakujący użył adresu „dEaD” jako odbiorcy.

Kolejnym krokiem było wyczerpanie niemal wszystkich tokenów BUSD z protokołu poprzez sprzedaż NGP. Pozostawiło to New Gold Protocol praktycznie bez środków. Atakujący uzyskał w ten sposób kryptowaluty o wartości 1,9 miliona dolarów i natychmiast zamienił je na ETH oparty na BNB.

Zgodnie z zespołem Hacken, kolejne działania obejmowały zdeponowanie skradzionych środków do Tornado Cash przez Ethereum zmostkowane z Across. Działanie to podniosło cenę NGP, pozostawiając protokół z niewielką ilością środków. Wkrótce cena tokena NGP spadła o 88%.

Niestety, pomimo ambitnych planów przekształcenia sektora DeFi i budowy zrównoważonego produktu, New Gold Protocol zaniedbał własne bezpieczeństwo i poniósł poważne szkody. Firma nie skomentowała sprawy. Ostatni tweet brzmi „stabilność spotyka wzrost”. Został opublikowany kilka godzin przed atakiem i teraz brzmi jak gorzki żart.

Inne ataki typu flash loan

Od momentu wprowadzenia flash loan, ataki tego typu szybko stały się jedną z taktyk wykorzystywanych przez przestępców.

Największy atak miał miejsce w marcu 2023 roku. Hakerowi udało się ukraść około 197 milionów dolarów w Wrapped Bitcoin, Wrapped Ethereum i innych aktywach z protokołu Euler Finance. Haker wykorzystał błąd w algorytmie wyliczania platformy. Środki zostały wysłane na adres używany wcześniej przez notorycznych hakerów z Korei Północnej, Lazarus Group. Co czyni ten przypadek szczególnie godnym uwagi, to fakt, że haker dobrowolnie zwrócił wszystkie środki i przeprosił.

Inne godne uwagi przykłady to atak na Cream Finance (130 milionów dolarów skradzionych w 2021 roku) i Polter (12 milionów dolarów skradzionych w 2024 roku). Flash loan był częścią schematu użytego w 2025 roku do wyczyszczenia 223 milionów dolarów w kryptowalutach z protokołu Cetus opartego na Sui.