The New Gold Protocol : Un Lancement Malheureux
Le protocole de staking, auto-désigné comme « DeFi 3.0 » et piloté par l’intelligence artificielle, The New Gold Protocol, construit « avec la durabilité au cœur », a été piraté quelques heures après son lancement. Le hacking a eu lieu le 18 septembre 2025. L’attaquant a exploité deux failles dans la conception du NGP. Cet incident illustre comment la négligence dans la conception des protocoles peut compromettre un projet dès son premier jour.
Objectifs et Ambitions du Protocole
The New Gold Protocol est un protocole de staking construit sur la blockchain BNB, lancé le 18 septembre. L’un des problèmes que ce protocole vise à résoudre est le « manque de règles de tarification ». Selon le livre blanc, de nombreux protocoles DeFi « manquent de mécanismes standardisés pour la tarification du comportement, entraînant volatilité et désordre ». Le protocole New Gold, considéré comme « DeFi 3.0 » de nouvelle génération, était censé surpasser les concurrents qui n’ont pas de revenus intrinsèques et dont les modèles de gouvernance sont inefficaces. L’équipe de NGP avait pour ambition d’atteindre la transparence, l’équité et la durabilité grâce à l’optimisation par l’IA.
Evolutif, transparent et conscient du temps, New Gold Protocol établissait une nouvelle référence pour les protocoles de staking. #BSCDeFi #CryptoStaking
Les Failles de Sécurité et le Hacking
The New Gold Protocol s’efforçait de créer une plateforme de staking inclusive, avec un environnement transparent et automatisé soutenu par des contrats intelligents. Grâce aux brûlages de tokens, NGP a promu son token natif comme déflationniste, promettant des distributions de rendement réel au lieu d’incitations inflationnistes et spéculatives. Le livre blanc de NGP suggérait que la transparence garantissait la responsabilité. Cependant, il s’est avéré que cela n’était pas suffisant.
« L’attaquant a utilisé une tactique de manipulation d’oracle. »
Selon les analystes de la société de sécurité blockchain Hacken, six heures avant l’attaque, l’attaquant avait accumulé un grand nombre d’actifs via des prêts flash en utilisant différents comptes. Les prêts flash sont une fonctionnalité populaire sur les plateformes DeFi, permettant d’emprunter rapidement des actifs cryptographiques sans garantie. Les fonds empruntés peuvent être utilisés pour le trading d’arbitrage, le vol de fonds d’un protocole ou la manipulation des prix. Comme le note Hacken, les dommages causés par les attaques de prêts flash peuvent atteindre des millions de dollars.
L’attaquant a commencé à échanger BUSD contre NGP sur PancakePair, ce qui a rapidement fait grimper le prix de NGP. The New Gold Protocol contenait deux limites : une limite d’achat et une limite de temps d’attente pour les acheteurs. Les deux ont été contournées alors que l’attaquant utilisait l’adresse dEaD comme destinataire. La prochaine étape a été de vider presque tous les tokens BUSD du protocole en vendant NGP, laissant The New Gold Protocol avec presque aucun fonds. L’attaquant a ensuite obtenu 1,9 million de dollars en crypto et a immédiatement échangé les fonds contre de l’ETH basé sur BNB.
Conséquences et Réactions
Malheureusement, malgré des plans ambitieux pour remodeler le secteur DeFi et construire un produit durable, The New Gold Protocol a négligé sa propre sécurité et a subi des dommages sévères. La société n’a pas commenté le problème. Le dernier tweet indique « la stabilité rencontre la croissance ». Publié quelques heures avant l’attaque, il ressemble désormais à une blague amère.
Dès l’introduction des prêts flash, les attaques de prêts flash sont rapidement devenues l’une des tactiques utilisées par les criminels. La plus grande attaque a eu lieu en mars 2023, lorsque le hacker a réussi à voler environ 197 millions de dollars en Wrapped Bitcoin, Wrapped Ethereum et d’autres actifs du protocole Euler Finance, exploitant une erreur dans le taux de calcul de la plateforme.
Ce qui a rendu ce cas particulièrement notable, c’est que le hacker a volontairement retourné tous les fonds et s’est excusé. D’autres exemples notables incluent le hack de Cream Finance (130 millions de dollars volés en 2021) et Polter (12 millions de dollars volés en 2024). Un prêt flash faisait également partie du schéma utilisé en 2025 pour effacer 223 millions de dollars en crypto du protocole Cetus basé sur Sui.
