New Gold Protocol遭遇黑客攻击
自称为“DeFi 3.0”的AI驱动质押协议New Gold Protocol在上线后数小时内遭到黑客攻击。此次攻击发生在2025年9月18日,黑客利用了该协议设计中的两个漏洞。这一事件表明,协议设计中的疏忽可能会在项目启动之初就导致其失败。
New Gold Protocol是一个建立在BNB区块链上的质押协议,于2025年9月18日正式推出,旨在解决“缺乏定价规则”的问题。根据白皮书,许多DeFi协议“缺乏标准化的行为定价机制,导致市场波动和混乱”。作为“下一代DeFi 3.0”,New Gold Protocol旨在超越那些没有内在收益且治理模型低效的竞争对手。NGP团队认为,通过AI优化可以实现透明、公平和可持续性。
协议的设计与目标
可扩展、透明且注重时间的New Gold Protocol为质押协议设定了新的基准。该协议致力于创建一个包容性的质押平台,提供一个通过智能合约维持的透明、自动化环境。由于代币销毁,NGP将其本地代币宣传为通缩型。它承诺提供真实收益分配,而不是通货膨胀和投机性激励。
NGP的白皮书指出,透明性确保了问责制。然而,事实证明,这并不足够。攻击发生在NGP代币上线后不久。为了防止价格膨胀攻击,NGP代币的购买数量受到限制,但黑客找到了一种绕过该限制的方法。
攻击过程与后果
根据区块链安全公司Hacken的分析,攻击发生前六小时,黑客通过不同账户积累了大量资产,并利用闪电贷进行操作。闪电贷是DeFi平台上流行的一项功能,允许快速借入加密资产而无需抵押。借来的资金可用于套利交易、从协议中盗取资金或操纵价格。Hacken指出,闪电贷攻击造成的损失可能高达数百万美元。
攻击者使用了一个预言机操控策略。该协议通过扫描去中心化交易所(DEX)流动性池中的储备来确定NGP代币价格,这使得攻击者能够操控价格。攻击者开始在PancakePair上将BUSD兑换为NGP,迅速推高了NGP的价格。
New Gold Protocol设定了两个限制:购买限制和买家的冷却时间限制。攻击者通过使用“dEaD”地址作为接收者绕过了这两个限制。接下来的操作是通过出售NGP几乎耗尽协议中的所有BUSD代币,导致New Gold Protocol几乎没有资金。攻击者随后获得了价值190万美元的加密货币,并立即将这些资金兑换为基于BNB的ETH。
根据Hacken团队的说法,接下来的行动包括通过与Across桥接的以太坊将被盗资金存入Tornado Cash。这一操作使NGP的价格上涨,同时协议中仅剩少量资金。随后,NGP代币价格暴跌88%。
总结与反思
不幸的是,尽管有雄心勃勃的计划旨在重塑DeFi领域并构建可持续产品,New Gold Protocol却忽视了自身的安全,遭受了严重损失。该公司对此事件未作评论。最新的推文写道:“稳定与增长相遇。”这条推文在攻击发生前几小时发布,如今看起来像是一句苦涩的笑话。
自从闪电贷被引入以来,闪电贷攻击迅速成为犯罪分子使用的一种策略。2023年3月发生了最大的攻击,黑客成功从Euler Finance协议中盗取了约1.97亿美元的Wrapped Bitcoin、Wrapped Ethereum和其他资产。黑客利用了平台计算率中的一个错误。
这些资金被发送到一个早先由臭名昭著的朝鲜黑客组织Lazarus Group使用的地址。此案件特别引人注目的是,黑客自愿归还了所有资金并表示歉意。其他值得注意的例子包括2021年Cream Finance黑客事件(盗取1.3亿美元)和2024年Polter事件(盗取1200万美元)。在2025年,闪电贷也是用于从基于Sui的Cetus协议中清空2.23亿美元加密货币的计划的一部分。
