Ключові моменти
- Зловмисник викрав близько $2 мільйонів у ETH з New Gold Protocol 18 вересня.
- Експлойт включав flash loan, який успішно маніпулював ціновим оракулом, дозволяючи зловмиснику обійти перевірки безпеки у смарт-контракті.
- Токен NGP впав на 88%, оскільки зловмисник приховує свої кошти через Tornado Cash.
New Gold Protocol, DeFi-стейкінг проєкт, втратив близько 443,8 Ethereum ETH $4 599 24h волатильність: 2,2% Ринкова капіталізація: $555,19 B Обсяг 24h: $42,83 B , оцінених у $2 мільйони, внаслідок експлойту 18 вересня. Атака призвела до того, що нативний токен проєкту NGP впав на 88%, знищивши більшу частину його ринкової вартості менш ніж за годину.
Інцидент був помічений кількома фірмами з безпеки блокчейну, включаючи PeckShield та Blockaid. Обидві компанії підтвердили суму викрадених коштів і відстежили їх рух. Аналіз Blockaid ідентифікував конкретну вразливість, яку використав зловмисник.
🚨 Спільнотне попередження:
Система виявлення експлойтів Blockaid ідентифікувала кілька шкідливих транзакцій, спрямованих на токен NGP у BSC.
Близько $2M було виведено.↓ Ми відстежуємо ситуацію в реальному часі та поділимося оновленнями нижче pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 вересня 2025
Атака через Flash Loan маніпулювала ціновим оракулом
Згідно з доповіддю Blockaid, злам був атакою маніпуляції ціновим оракулом. Смарт-контракт протоколу мав критичну вразливість; він визначав ціну токена NGP, орієнтуючись на резерви активів в одному пулі ліквідності Uniswap. Цей метод є небезпечним, оскільки ціну в одному пулі легко маніпулювати.
Зловмисник використав flash loan для позики великої кількості активів. Flash loan складається з серії транзакцій, які позичають і повертають позику в межах однієї транзакції. Він використав ці активи, щоб тимчасово змінити резерви у пулі ліквідності, обдуривши протокол і змусивши його думати, що токен NGP майже нічого не вартий. Це дозволило хакеру обійти максимальний ліміт покупки і придбати величезну кількість токенів NGP за мінімальною ціною.
Наступні транзакції у ланцюжку скасували початкову угоду та повернули flash loan, принісши хакеру прибуток у 443,8 ETH. Кошти були переведені у мережу Ethereum і депоновані у міксер Torando Cash для приховування слідів.
Цей експлойт підкреслює кілька тривожних сигналів, що оточували проєкт. На відміну від легітимних, аудованих токенів, NGP працював із низькою прозорістю та страждав від надзвичайно низького обсягу торгів. Цей інцидент є частиною ширшої тенденції, оскільки звіти показують, що кількість зламів у криптоіндустрії зростає. Це також підсилює дискусію щодо відповідальності розробників — питання, яке криптофірми закликають законодавців вирішити.
next
