Giới thiệu về New Gold Protocol
Giao thức staking tự mô tả là “DeFi 3.0” do AI điều khiển, New Gold Protocol, được xây dựng với tính bền vững làm cốt lõi, đã bị tấn công chỉ vài giờ sau khi ra mắt vào ngày 18 tháng 9 năm 2025. Kẻ tấn công đã khai thác hai lỗ hổng trong thiết kế của NGP, cho thấy sự bất cẩn trong thiết kế giao thức có thể khiến một dự án gặp khó khăn ngay từ những ngày đầu.
Đặc điểm của New Gold Protocol
New Gold Protocol là một giao thức staking được xây dựng trên nền tảng blockchain BNB, nhằm giải quyết vấn đề “thiếu quy tắc định giá”. Theo tài liệu trắng, nhiều giao thức DeFi thiếu cơ chế tiêu chuẩn hóa cho việc định giá hành vi, dẫn đến sự biến động và hỗn loạn. Giao thức New Gold Protocol, được kỳ vọng sẽ vượt trội hơn các đối thủ không có thu nhập nội tại và mô hình quản trị không hiệu quả, đã tìm ra cách để đạt được tính minh bạch, công bằng và bền vững thông qua tối ưu hóa AI.
Với khả năng mở rộng, tính minh bạch và chú ý đến thời gian, New Gold Protocol đặt ra một tiêu chuẩn mới cho các giao thức staking.
Vụ tấn công và hậu quả
New Gold Protocol đang cố gắng tạo ra một nền tảng staking bao trùm với môi trường tự động, minh bạch được duy trì thông qua các hợp đồng thông minh. Nhờ việc đốt token, NGP đã quảng bá token gốc của mình như một loại tiền tệ giảm phát, hứa hẹn phân phối lợi nhuận thực thay vì các động lực lạm phát và đầu cơ.
Tài liệu trắng của NGP khẳng định rằng tính minh bạch đảm bảo trách nhiệm, nhưng hóa ra điều này không đủ.
Vụ tấn công xảy ra ngay sau khi ra mắt token NGP. Số lượng token NGP có thể mua bị giới hạn để ngăn chặn các cuộc tấn công lạm phát giá, nhưng kẻ tấn công đã tìm ra cách để vượt qua điều đó. Theo các nhà phân tích từ công ty bảo mật blockchain Hacken, sáu giờ trước khi tấn công, kẻ tấn công đã tích lũy một số lượng lớn tài sản thông qua các khoản vay nhanh bằng cách sử dụng các tài khoản khác nhau.
Các khoản vay nhanh là một tính năng phổ biến trên các nền tảng DeFi, cho phép vay tài sản tiền điện tử nhanh chóng mà không cần tài sản thế chấp. Các khoản tiền vay này có thể được sử dụng cho giao dịch chênh lệch giá, đánh cắp tiền từ một giao thức hoặc thao túng giá. Như Hacken lưu ý, thiệt hại gây ra thông qua các cuộc tấn công vay nhanh có thể lên tới hàng triệu đô la.
Kẻ tấn công đã sử dụng một chiến thuật thao túng oracle, trong đó giao thức xác định giá token NGP bằng cách quét các dự trữ của nó trong pool thanh khoản DEX, cho phép kẻ tấn công thao túng giá. Kẻ tấn công bắt đầu hoán đổi BUSD sang NGP trên PancakePair, điều này đã đẩy giá NGP lên nhanh chóng.
New Gold Protocol có hai giới hạn: một giới hạn mua và một giới hạn thời gian cho người mua. Cả hai đều bị vượt qua khi kẻ tấn công sử dụng địa chỉ “dEaD” làm người nhận. Bước tiếp theo là rút gần như tất cả các token BUSD từ giao thức thông qua việc bán NGP, để lại cho New Gold Protocol gần như không có quỹ.
Kẻ tấn công sau đó đã thu được 1,9 triệu đô la giá trị tiền điện tử và ngay lập tức hoán đổi số tiền này sang ETH dựa trên BNB. Theo nhóm Hacken, các hành động tiếp theo bao gồm gửi tiền bị đánh cắp đến Tornado Cash thông qua Ethereum được kết nối với Across. Hành động này đã đẩy giá NGP lên trong khi để lại cho giao thức chỉ một số lượng nhỏ quỹ. Chẳng bao lâu sau, giá token NGP đã giảm 88%.
Thật không may, mặc dù có những kế hoạch đầy tham vọng để định hình lại lĩnh vực DeFi và xây dựng một sản phẩm bền vững, New Gold Protocol đã bỏ qua vấn đề bảo mật của chính mình và phải đối mặt với thiệt hại nghiêm trọng. Công ty đã không bình luận về vấn đề này. Tweet mới nhất viết “sự ổn định gặp gỡ tăng trưởng”, được công bố vài giờ trước khi vụ tấn công, giờ đây trông như một trò đùa chua chát.
Cuộc tấn công vay nhanh trong lịch sử
Ngay khi các khoản vay nhanh được giới thiệu, các cuộc tấn công vay nhanh đã nhanh chóng trở thành một trong những chiến thuật được sử dụng bởi tội phạm. Cuộc tấn công lớn nhất diễn ra vào tháng 3 năm 2023, khi kẻ tấn công đã quản lý để đánh cắp khoảng 197 triệu đô la trong Wrapped Bitcoin, Wrapped Ethereum và các tài sản khác từ giao thức Euler Finance, bằng cách sử dụng một lỗi trong tỷ lệ tính toán của nền tảng.
Các quỹ đã được gửi đến một địa chỉ đã được sử dụng trước đó bởi những kẻ tấn công nổi tiếng DPRK, nhóm Lazarus. Điều làm cho vụ việc này đặc biệt đáng chú ý là kẻ tấn công đã tự nguyện trả lại tất cả các quỹ và xin lỗi. Các ví dụ đáng chú ý khác bao gồm vụ hack Cream Finance (130 triệu đô la bị đánh cắp vào năm 2021) và Polter (12 triệu đô la bị đánh cắp vào năm 2024). Một khoản vay nhanh đã là một phần của kế hoạch được sử dụng vào năm 2025 để xóa sổ 223 triệu đô la tiền điện tử từ giao thức Cetus dựa trên Sui.
