El Hackeo de The New Gold Protocol
El protocolo de staking autodenominado «DeFi 3.0» impulsado por inteligencia artificial, The New Gold Protocol, construido «con la sostenibilidad en su núcleo», fue hackeado horas después de su lanzamiento el 18 de septiembre de 2025. El atacante explotó dos fallas en el diseño del protocolo NGP, lo que demuestra cómo la negligencia en el diseño puede condenar un proyecto desde su inicio.
Características del Protocolo
The New Gold Protocol es un protocolo de staking desarrollado sobre la blockchain de BNB. Uno de los problemas que busca resolver es la «falta de reglas de precios». Según su libro blanco, muchos protocolos DeFi carecen de mecanismos estandarizados para la fijación de precios, lo que resulta en volatilidad y desorden. Este «DeFi 3.0 de próxima generación» estaba destinado a superar a los competidores que no tienen ganancias intrínsecas y cuyos modelos de gobernanza son ineficientes.
El equipo de NGP aspiraba a lograr transparencia, equidad y sostenibilidad a través de la optimización de inteligencia artificial. Escalable, transparente y consciente del tiempo, The New Gold Protocol pretendía establecer un nuevo estándar para los protocolos de staking.
El protocolo se esforzaba por crear una plataforma de staking inclusiva con un entorno automatizado y transparente, sostenido a través de contratos inteligentes. Gracias a las quemas de tokens, NGP promovió su token nativo como deflacionario, prometiendo distribuciones de rendimiento real en lugar de incentivos inflacionarios y especulativos. El libro blanco de NGP sugería que la transparencia asegura la responsabilidad; sin embargo, esto resultó ser insuficiente.
Detalles del Ataque
El hackeo ocurrió poco después del lanzamiento del token NGP. Aunque la cantidad de tokens NGP que se podían comprar estaba limitada para prevenir ataques de inflación de precios, el hacker encontró una forma de eludir esta restricción. Según analistas de la empresa de seguridad blockchain Hacken, seis horas antes del ataque, el hacker acumuló una gran cantidad de activos a través de préstamos flash utilizando diferentes cuentas.
Los préstamos flash son una característica popular en las plataformas DeFi que permiten pedir prestados activos criptográficos rápidamente sin necesidad de colateral. Los fondos prestados pueden ser utilizados para comercio de arbitraje, robar fondos de un protocolo o manipulación de precios. Como señala Hacken, el daño causado a través de ataques de préstamos flash puede ascender a millones de dólares.
El atacante utilizó una táctica de manipulación de oráculos. El protocolo determinó el precio del token NGP escaneando sus reservas en el pool de liquidez del DEX, lo que permitió al atacante manipular el precio. Comenzó a intercambiar BUSD por NGP en PancakePair, lo que aumentó rápidamente el precio de NGP.
The New Gold Protocol tenía dos límites: un límite de compra y un límite de enfriamiento para los compradores. Ambos fueron eludidos, ya que el atacante utilizó la dirección «dEaD» como destinatario. El siguiente movimiento fue drenar casi todos los tokens BUSD del protocolo a través de la venta de NGP, dejando a The New Gold Protocol con casi ningún fondo. El atacante logró obtener $1.9 millones en criptomonedas y de inmediato intercambió los fondos por ETH basado en BNB.
Según el equipo de Hacken, las acciones siguientes incluyeron depositar los fondos robados en Tornado Cash a través de Ethereum puenteado con Across. Esta acción hizo que el precio de NGP subiera, mientras que el protocolo quedó con solo una pequeña cantidad de fondos. Pronto, el precio del token NGP se desplomó un 88%.
Reflexiones Finales
A pesar de los ambiciosos planes para remodelar el sector DeFi y construir un producto sostenible, The New Gold Protocol descuidó su propia seguridad y enfrentó daños severos. La empresa no ha comentado sobre el asunto. Su último tweet, que decía
«la estabilidad se encuentra con el crecimiento»
, fue publicado varias horas antes del ataque y ahora parece una amarga broma.
Tan pronto como se introdujeron los préstamos flash, estos ataques se convirtieron rápidamente en una de las tácticas utilizadas por los criminales. El ataque más grande tuvo lugar en marzo de 2023, cuando un hacker logró robar alrededor de $197 millones en Wrapped Bitcoin, Wrapped Ethereum y otros activos del protocolo Euler Finance, utilizando un error en la tasa de cálculo de la plataforma. Lo notable de este caso es que el hacker devolvió voluntariamente todos los fondos y se disculpó.
Otros ejemplos incluyen el hackeo de Cream Finance ($130 millones robados en 2021) y Polter ($12 millones robados en 2024). Un préstamo flash fue parte del esquema utilizado en 2025 para eliminar $223 millones en criptomonedas del protocolo Cetus basado en Sui.
