Ключевые моменты
- Злоумышленник похитил около $2 миллионов в ETH из New Gold Protocol 18 сентября.
- Эксплойт включал flash loan, который успешно манипулировал ценовым оракулом, позволяя злоумышленнику обойти проверки безопасности в смарт-контракте.
- Токен NGP упал на 88%, пока злоумышленник скрывает свои средства через Tornado Cash.
New Gold Protocol, DeFi-стейкинг проект, потерял около 443.8 Ethereum ETH $4 599 24h волатильность: 2.2% Рыночная капитализация: $555.19 B Объем 24h: $42.83 B , оцененных в $2 миллиона, в результате эксплойта 18 сентября. Атака привела к обрушению нативного токена проекта NGP на 88%, уничтожив большую часть его рыночной стоимости менее чем за час.
Инцидент был отмечен несколькими компаниями по безопасности блокчейна, включая PeckShield и Blockaid. Обе компании подтвердили сумму похищенного и отследили перемещение средств. Анализ Blockaid выявил конкретную уязвимость, которую использовал злоумышленник.
🚨 Сообщение для сообщества:
Система обнаружения эксплойтов Blockaid выявила несколько вредоносных транзакций, нацеленных на токен NGP в BSC.
Около $2M были выведены.↓ Мы следим за ситуацией в реальном времени и будем делиться обновлениями ниже pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 сентября 2025
Атака с использованием flash loan манипулировала ценовым оракулом
Согласно отчету Blockaid, взлом был атакой с манипуляцией ценового оракула. Смарт-контракт протокола имел критическую уязвимость: он определял цену токена NGP, основываясь на резервах активов в одном пуле ликвидности Uniswap. Этот метод небезопасен, поскольку цену в одном пуле легко манипулировать.
Злоумышленник использовал flash loan для заимствования большого количества активов. Flash loan состоит из серии транзакций, которые берут и возвращают заем в рамках одной и той же транзакции. Эти активы были использованы для временного искажения резервов в пуле ликвидности, что ввело протокол в заблуждение, заставив его считать, что токен NGP почти ничего не стоит. Это позволило хакеру обойти лимит на максимальную покупку и приобрести огромное количество токенов NGP по минимальным ценам.
Последующие транзакции в цепочке отменили первоначальную сделку и вернули flash loan, в результате чего хакер получил прибыль в 443.8 ETH. Затем средства были переведены в сеть Ethereum и депонированы в миксер Torando Cash для сокрытия следов.
Этот эксплойт подчеркивает несколько тревожных сигналов, окружавших проект. В отличие от легитимных, прошедших аудит токенов, NGP функционировал с низкой прозрачностью и страдал от крайне низкого торгового объема. Этот инцидент является частью более широкой тенденции, поскольку, согласно отчетам, количество взломов в криптоиндустрии растет. Он также добавляет аргументов в дискуссию о юридической ответственности разработчиков — теме, которую крипто-компании призывают законодателей рассмотреть.
next
