Ang Pag-atake sa The New Gold Protocol
Ang AI-driven at self-described na “DeFi 3.0” staking protocol na The New Gold Protocol, na itinayo “na may sustainability sa kanyang puso,” ay na-hack ilang oras matapos ang paglulunsad nito noong Setyembre 18, 2025. Ang hacker ay nag-exploit ng dalawang depekto sa disenyo ng NGP, na nagpapakita kung paano ang kapabayaan sa disenyo ng protocol ay maaaring magdulot ng kapahamakan sa isang proyekto mula sa unang araw.
Layunin ng The New Gold Protocol
Ang The New Gold Protocol ay isang staking protocol na itinayo sa ibabaw ng BNB blockchain. Isa sa mga pangunahing problema na layunin ng The New Gold Protocol na lutasin ay ang “kakulangan ng mga patakaran sa pagpepresyo.” Ayon sa whitepaper, maraming DeFi protocols ang “kulang sa mga standardized mechanisms para sa pagpepresyo ng pag-uugali, na nagreresulta sa volatility at disorder.” Ang “next-generation DeFi 3.0” na The New Gold Protocol ay nilayon na malampasan ang mga kakumpitensya na walang intrinsic earnings at ang mga modelo ng pamamahala na hindi epektibo. Nakita ng NGP team ang paraan upang makamit ang transparency, fairness, at sustainability sa pamamagitan ng AI optimization.
Mga Katangian ng Protocol
Scalable, transparent, at time-conscious — ang The New Gold Protocol ay nagtatakda ng bagong benchmark para sa mga staking protocols. Ang NGP ay nagsusumikap na lumikha ng isang inclusive staking platform na may transparent at automated na kapaligiran na pinapanatili sa pamamagitan ng smart contracts. Dahil sa token burns, itinataguyod ng NGP ang sarili nitong token bilang deflationary. Nangako ito ng tunay na pamamahagi ng kita sa halip na inflationary at speculative incentives. Iminungkahi ng NGP whitepaper na ang transparency ay nagsisiguro ng accountability. Gayunpaman, lumabas na hindi ito sapat.
Ang Pag-atake
“Ang hacking ay naganap kaagad pagkatapos ng paglulunsad ng NGP token.”
Ang dami ng NGP tokens na maaaring bilhin ay nilimitahan upang maiwasan ang mga pag-atake sa pagtaas ng presyo, ngunit nakahanap ang hacker ng paraan upang malampasan ito. Ayon sa mga analyst mula sa blockchain security company na Hacken, anim na oras bago ang pag-atake, ang hacker ay nakakuha ng mataas na bilang ng mga assets sa pamamagitan ng flash loans gamit ang iba’t ibang account. Ang flash loans ay isang tampok na tanyag sa mga DeFi platforms, na nagpapahintulot na manghiram ng crypto assets nang mabilis nang walang collateral. Ang mga hiniram na pondo ay maaaring gamitin para sa arbitrage trading, pagnanakaw ng pondo mula sa isang protocol, o manipulasyon ng presyo. Ayon sa Hacken, ang pinsalang dulot ng mga flash loan attacks ay maaaring umabot sa milyon-milyong dolyar.
Taktika ng Hacker
Gumamit ang attacker ng isang oracle-manipulation tactic. Itinakda ng protocol ang presyo ng NGP token sa pamamagitan ng pag-scan ng mga reserba nito sa liquidity pool ng DEX, na nagbigay-daan sa attacker na manipulahin ang presyo. Nagsimula ang attacker na magpalitan ng BUSD sa NGP sa PancakePair, na mabilis na nagtaas ng presyo ng NGP. Ang The New Gold Protocol ay naglalaman ng dalawang limitasyon: isang buying limit at isang cooldown limit para sa mga mamimili. Pareho itong nalampasan habang ginamit ng attacker ang “dEaD” address bilang tumanggap. Ang susunod na hakbang ay ang pag-alis ng halos lahat ng BUSD tokens mula sa protocol sa pamamagitan ng pagbebenta ng NGP, na nag-iwan sa The New Gold Protocol na halos walang pondo. Ang attacker ay nakakuha ng $1.9 milyon na halaga ng crypto at agad na pinalitan ang mga pondo sa BNB-based ETH.
Mga Epekto ng Pag-atake
Ayon sa team ng Hacken, ang mga sumusunod na aksyon ay kinabibilangan ng pag-deposito ng mga ninakaw na pondo sa Tornado Cash sa pamamagitan ng Ethereum na nakabriged sa Across. Ang aksyon na ito ay nagpadala ng presyo ng NGP pataas habang iniiwan ang protocol na may maliit na halaga ng pondo. Sa lalong madaling panahon, ang presyo ng NGP token ay bumagsak ng 88%. Sa kasamaang palad, sa kabila ng mga ambisyosong plano na muling hubugin ang sektor ng DeFi at bumuo ng isang sustainable na produkto, pinabayaan ng The New Gold Protocol ang sarili nitong seguridad at nakaranas ng matinding pinsala. Ang kumpanya ay hindi nagkomento sa isyu. Ang pinakabagong tweet ay nagsasaad ng “stability meets growth,” na inilathala ilang oras bago ang pag-atake at ngayon ay tila isang mapait na biro.
Konklusyon
Ang stability ay nakakatagpo ng paglago. Ang AI-driven pools ng New Gold Protocol ay nagbabalanse ng liquidity sa panahon ng parehong pagtaas at pagbaba, na lumilikha ng mas malusog na long-term market curve. Sa sandaling ipinakilala ang mga flash loans, ang mga flash loan attacks ay mabilis na naging isa sa mga taktika na ginamit ng mga kriminal. Ang pinakamalaking pag-atake ay naganap noong Marso 2023, kung saan ang hacker ay nakapag-nakaw ng humigit-kumulang $197 milyon sa Wrapped Bitcoin, Wrapped Ethereum, at iba pang mga assets mula sa Euler Finance protocol. Ang hacker ay gumagamit ng isang error sa rate ng pagkalkula ng platform. Ang mga pondo ay ipinadala sa isang address na ginamit dati ng mga kilalang hacker ng DPRK, ang Lazarus Group. Ang ginawang ito ng hacker ay lalo pang naging kapansin-pansin dahil kusang-loob niyang ibinalik ang lahat ng pondo at humingi ng tawad. Ang iba pang mga kapansin-pansing halimbawa ay kinabibilangan ng Cream Finance hack ($130 milyon na ninakaw noong 2021) at Polter ($12 milyon na ninakaw noong 2024). Isang flash loan ang bahagi ng scheme na ginamit noong 2025 upang burahin ang $223 milyon sa crypto mula sa Cetus protocol batay sa Sui.
