새로운 골드 프로토콜 해킹 사건
AI 기반의 자칭 “DeFi 3.0” 스테이킹 프로토콜인 새로운 골드 프로토콜(The New Gold Protocol)은 지속 가능성을 핵심으로 구축되었으나, 출시 몇 시간 만에 해킹을 당했다. 해킹은 2025년 9월 18일에 발생했으며, 해커는 NGP의 설계에서 두 가지 결함을 이용했다. 이 사건은 프로토콜 설계에서의 부주의가 프로젝트를 첫날부터 망칠 수 있음을 보여준다.
프로토콜의 목표와 설계
새로운 골드 프로토콜은 BNB 블록체인 위에 구축된 스테이킹 프로토콜로, 9월 18일에 출시되었다. 이 프로토콜이 해결하고자 하는 문제 중 하나는 “가격 규칙의 부족”이다. 백서에 따르면, 많은 DeFi 프로토콜은 “행동 가격 책정을 위한 표준화된 메커니즘이 부족하여 변동성과 혼란을 초래한다.” “차세대 DeFi 3.0″인 새로운 골드 프로토콜은 본질적인 수익이 없고 거버넌스 모델이 비효율적인 경쟁자들을 초월할 것으로 기대되었다.
NGP 팀은 AI 최적화를 통해 투명성, 공정성 및 지속 가능성을 달성할 방법을 보았다. 확장 가능하고 투명하며 시간에 민감한 새로운 골드 프로토콜은 스테이킹 프로토콜의 새로운 기준을 설정하고자 했다. 새로운 골드 프로토콜은 스마트 계약을 통해 지속되는 투명하고 자동화된 환경을 갖춘 포괄적인 스테이킹 플랫폼을 만들기 위해 노력하고 있었다.
해킹의 경과
“해킹은 NGP 토큰 출시 직후에 발생했다. 가격 인플레이션 공격을 방지하기 위해 구매할 수 있는 NGP 토큰의 양이 제한되었지만, 해커는 이를 우회하는 방법을 찾았다.”
블록체인 보안 회사 Hacken의 분석가들에 따르면, 공격 6시간 전에 해커는 여러 계정을 통해 플래시 론을 이용해 많은 자산을 축적했다. 플래시 론은 DeFi 플랫폼에서 인기 있는 기능으로, 담보 없이 빠르게 암호 자산을 빌릴 수 있게 해준다. 빌린 자금은 차익 거래, 프로토콜에서 자금을 훔치거나 가격 조작에 사용될 수 있다.
Hacken이 언급한 바와 같이, 플래시 론 공격으로 인한 피해는 수백만 달러에 이를 수 있다. 공격자는 오라클 조작 전술을 사용했다. 프로토콜은 DEX의 유동성 풀에서 보유 자산을 스캔하여 NGP 토큰 가격을 결정했으며, 이를 통해 공격자가 가격을 조작할 수 있었다.
결과와 여파
공격자는 PancakePair에서 BUSD를 NGP로 교환하기 시작했으며, 이는 NGP의 가격을 빠르게 상승시켰다. 새로운 골드 프로토콜은 구매 한도와 구매자에 대한 쿨다운 한도의 두 가지 제한을 가지고 있었으나, 두 가지 모두 공격자가 “dEaD” 주소를 수신자로 사용하여 우회되었다. 다음 단계는 NGP를 판매하여 프로토콜에서 거의 모든 BUSD 토큰을 빼내는 것이었다. 이는 새로운 골드 프로토콜에 거의 자금이 남지 않게 했다.
공격자는 이후 190만 달러 상당의 암호화폐를 얻고 즉시 자금을 BNB 기반 ETH로 교환했다. Hacken 팀에 따르면, 이후의 행동은 Ethereum을 통해 Tornado Cash에 도난당한 자금을 입금하는 것이었다. 이 행동은 NGP 가격을 상승시키는 동시에 프로토콜에는 소량의 자금만 남겼다. 곧 NGP 토큰 가격은 88% 급락했다.
결론
불행히도 DeFi 분야를 재편하고 지속 가능한 제품을 구축하려는 야심찬 계획에도 불구하고, 새로운 골드 프로토콜은 자체 보안을 소홀히 하여 심각한 피해를 입었다. 회사는 이 문제에 대해 언급하지 않았다. 최신 트윗은 “안정성이 성장과 만나다”라는 내용으로, 공격 몇 시간 전에 게시되었으며 지금은 씁쓸한 농담처럼 보인다.
플래시 론이 도입되자마자, 플래시 론 공격은 범죄자들이 사용하는 전술 중 하나로 빠르게 자리 잡았다. 가장 큰 공격은 2023년 3월에 발생했다. 해커는 Euler Finance 프로토콜에서 약 1억 9700만 달러 상당의 Wrapped Bitcoin, Wrapped Ethereum 및 기타 자산을 훔치는 데 성공했다. 이 사건이 특히 주목할 만한 이유는 해커가 자발적으로 모든 자금을 반환하고 사과했기 때문이다.
