Einführung in das New Gold Protocol
Das KI-gesteuerte, selbsternannte „DeFi 3.0“-Staking-Protokoll New Gold Protocol, das „mit Nachhaltigkeit im Kern“ entwickelt wurde, wurde nur Stunden nach seinem Start am 18. September 2025 gehackt. Der Angreifer nutzte zwei Schwachstellen im Design des Protokolls aus. Dieser Vorfall verdeutlicht, wie Nachlässigkeit im Protokolldesign ein Projekt von Anfang an zum Scheitern bringen kann.
Das Konzept hinter dem New Gold Protocol
Das New Gold Protocol basiert auf der BNB-Blockchain und wurde mit dem Ziel entwickelt, den „Mangel an Preisregeln“ in vielen DeFi-Protokollen zu beheben. Laut dem Whitepaper „fehlen vielen DeFi-Protokollen standardisierte Mechanismen zur Preisgestaltung, was zu Volatilität und Unordnung führt.“ Das „nächste Generation DeFi 3.0“ New Gold Protocol sollte Konkurrenten übertreffen, die keine intrinsischen Erträge bieten und deren Governance-Modelle ineffizient sind. Das NGP-Team sah den Weg zur Erreichung von Transparenz, Fairness und Nachhaltigkeit durch KI-Optimierung. Skalierbar, transparent und zeitbewusst – das New Gold Protocol setzte einen neuen Maßstab für Staking-Protokolle.
Die Sicherheitslücken und der Hack
Das New Gold Protocol strebte an, eine inklusive Staking-Plattform mit einer transparenten, automatisierten Umgebung zu schaffen, die durch Smart Contracts unterstützt wird. Durch Token-Burns sollte das native Token als deflationär gefördert werden. Es versprach echte Ertragsverteilungen anstelle von inflationären und spekulativen Anreizen. Das NGP-Whitepaper postulierte, dass Transparenz Verantwortung gewährleistet. Doch dies stellte sich als unzureichend heraus. Der Hack ereignete sich kurz nach dem Start des NGP-Tokens. Die Menge an NGP-Tokens, die gekauft werden konnte, war begrenzt, um Preisinflationsangriffe zu verhindern, aber der Hacker fand einen Weg, dies zu umgehen.
Laut Analysten des Blockchain-Sicherheitsunternehmens Hacken hatte der Angreifer sechs Stunden vor dem Angriff eine große Anzahl von Vermögenswerten über Flash-Kredite mit verschiedenen Konten angesammelt.
Flash-Kredite sind ein beliebtes Feature auf DeFi-Plattformen, das es ermöglicht, Krypto-Vermögenswerte schnell ohne Sicherheiten zu leihen. Die geliehenen Mittel können für Arbitrage-Handel, den Diebstahl von Mitteln aus einem Protokoll oder Preismanipulationen verwendet werden. Wie Hacken anmerkt, können die durch Flash-Kreditangriffe verursachten Schäden Millionen von Dollar betragen.
Manipulation und Folgen des Hacks
Der Angreifer verwendete eine Taktik zur Manipulation von Orakeln. Das Protokoll bestimmte den NGP-Tokenpreis, indem es seine Reserven im Liquiditätspool der DEX scannte, was dem Angreifer ermöglichte, den Preis zu manipulieren. Der Angreifer begann, BUSD gegen NGP auf PancakeSwap zu tauschen, was den NGP-Preis schnell in die Höhe trieb. Das New Gold Protocol hatte zwei Limits: ein Kauf-Limit und ein Abkühlungs-Limit für Käufer. Beide wurden umgangen, da der Angreifer die „dEaD“-Adresse als Empfänger verwendete. Der nächste Schritt war, fast alle BUSD-Tokens aus dem Protokoll durch den Verkauf von NGP abzuziehen, was das New Gold Protocol mit fast keinen Mitteln zurückließ. Der Angreifer erlangte Krypto im Wert von 1,9 Millionen Dollar und tauschte die Mittel sofort in BNB-basiertes ETH um.
Laut dem Hacken-Team umfassten die folgenden Aktionen die Einzahlung gestohlener Mittel in Tornado Cash über Ethereum, das mit Across verbunden war. Diese Aktion ließ den NGP-Preis steigen, während das Protokoll nur noch einen kleinen Betrag an Mitteln hatte. Bald fiel der NGP-Tokenpreis um 88 %. Trotz ehrgeiziger Pläne zur Umgestaltung des DeFi-Sektors und zum Aufbau eines nachhaltigen Produkts vernachlässigte das New Gold Protocol seine eigene Sicherheit und erlitt erhebliche Schäden. Das Unternehmen kommentierte das Problem nicht. Der letzte Tweet lautete „Stabilität trifft auf Wachstum.“ Er wurde mehrere Stunden vor dem Angriff veröffentlicht und wirkt jetzt wie ein bitterer Witz.
Flash-Kredite und ihre Gefahren
Sobald Flash-Kredite eingeführt wurden, wurden Flash-Kreditangriffe schnell zu einer der Taktiken, die von Kriminellen verwendet wurden. Der größte Angriff fand im März 2023 statt, als ein Hacker rund 197 Millionen Dollar in Wrapped Bitcoin, Wrapped Ethereum und anderen Vermögenswerten aus dem Euler Finance-Protokoll stahl. Der Hacker nutzte einen Fehler in der Berechnungsrate der Plattform. Die Mittel wurden an eine Adresse gesendet, die zuvor von den berüchtigten DPRK-Hackern, der Lazarus-Gruppe, verwendet wurde. Was diesen Fall besonders bemerkenswert machte, war, dass der Hacker alle Mittel freiwillig zurückgab und sich entschuldigte. Weitere bemerkenswerte Beispiele sind der Cream Finance-Hack (130 Millionen Dollar gestohlen im Jahr 2021) und Polter (12 Millionen Dollar gestohlen im Jahr 2024). Ein Flash-Kredit war Teil des Plans, der 2025 verwendet wurde, um 223 Millionen Dollar in Krypto aus dem Cetus-Protokoll auf Sui zu entfernen.
