Il New Gold Protocol e l’Hacking Inaspettato
Il protocollo di staking auto-definito “DeFi 3.0”, il New Gold Protocol, costruito “con la sostenibilità al suo centro”, è stato hackerato poche ore dopo il lancio, avvenuto il 18 settembre 2025. L’attaccante ha sfruttato due vulnerabilità nel design del protocollo. Questo caso dimostra come la negligenza nella progettazione di un protocollo possa compromettere un progetto fin dal primo giorno.
Obiettivi e Caratteristiche del Protocollo
Il New Gold Protocol è un protocollo di staking sviluppato sulla blockchain di BNB, lanciato il 18 settembre. Uno dei problemi che il New Gold Protocol intende risolvere è la “mancanza di regole di prezzo”. Secondo il whitepaper, molti protocolli DeFi “mancano di meccanismi standardizzati per la determinazione dei prezzi, risultando in volatilità e disordine”. Il “protocollo DeFi 3.0 di nuova generazione” era destinato a superare i concorrenti che non presentano guadagni intrinseci e i cui modelli di governance sono inefficienti. Il team di NGP ha puntato a raggiungere trasparenza, equità e sostenibilità attraverso l’ottimizzazione basata sull’intelligenza artificiale.
Scalabile, trasparente e attento al tempo, il New Gold Protocol stabilisce un nuovo benchmark per i protocolli di staking. Stava cercando di creare una piattaforma di staking inclusiva, con un ambiente trasparente e automatizzato, sostenuto da smart contracts. A causa delle bruciature di token, NGP ha promosso il suo token nativo come deflazionario, promettendo distribuzioni di rendimento reale invece di incentivi inflazionistici e speculativi.
Dettagli dell’Hacking
Il whitepaper di NGP suggeriva che la trasparenza garantisse responsabilità. Tuttavia, si è rivelato che questo non era sufficiente. L’hacking è avvenuto poco dopo il lancio del token NGP. L’importo di token NGP acquistabile era limitato per prevenire attacchi di inflazione dei prezzi, ma l’hacker ha trovato un modo per bypassare queste restrizioni.
Secondo gli analisti della società di sicurezza blockchain Hacken, sei ore prima dell’attacco, l’hacker ha accumulato un alto numero di asset tramite prestiti flash utilizzando diversi account.
I prestiti flash sono una funzionalità popolare sulle piattaforme DeFi, che consentono di prendere in prestito rapidamente asset crittografici senza garanzie. I fondi presi in prestito possono essere utilizzati per trading di arbitraggio, rubare fondi da un protocollo o manipolare i prezzi. Come nota Hacken, i danni causati dagli attacchi con prestiti flash possono ammontare a milioni di dollari.
L’attaccante ha utilizzato una tattica di manipolazione degli oracoli. Il protocollo determinava il prezzo del token NGP scansionando le sue riserve nel pool di liquidità DEX, il che ha permesso all’attaccante di manipolare il prezzo. L’attaccante ha iniziato a scambiare BUSD con NGP su PancakePair, il che ha rapidamente aumentato il prezzo di NGP.
Il New Gold Protocol conteneva due limiti: un limite di acquisto e un limite di cooldown per gli acquirenti. Entrambi sono stati bypassati poiché l’attaccante ha utilizzato l’indirizzo “dEaD” come destinatario. La mossa successiva è stata drenare quasi tutti i token BUSD dal protocollo tramite la vendita di NGP, lasciando il New Gold Protocol con quasi nessun fondo. L’attaccante ha quindi guadagnato criptovalute per un valore di 1,9 milioni di dollari e ha immediatamente scambiato i fondi in ETH basato su BNB.
Secondo il team di Hacken, le azioni successive hanno incluso il deposito dei fondi rubati a Tornado Cash tramite Ethereum collegato con Across. Questa azione ha fatto salire il prezzo di NGP, lasciando il protocollo con solo una piccola quantità di fondi. Presto, il prezzo del token NGP è crollato dell’88%.
Conclusioni e Riflessioni
Purtroppo, nonostante i piani ambiziosi per rimodellare il settore DeFi e costruire un prodotto sostenibile, il New Gold Protocol ha trascurato la propria sicurezza e ha subito danni gravi. L’azienda non ha commentato la questione. L’ultimo tweet recita “stabilità incontra crescita”, pubblicato diverse ore prima dell’attacco, ora sembra una beffa.
I pool guidati da AI del New Gold Protocol bilanciano la liquidità durante sia i picchi che i cali, creando una curva di mercato a lungo termine più sana. Non appena i prestiti flash sono stati introdotti, gli attacchi con prestiti flash sono rapidamente diventati una delle tattiche utilizzate dai criminali.
Il più grande attacco si è verificato a marzo 2023, quando un hacker è riuscito a rubare circa 197 milioni di dollari in Wrapped Bitcoin, Wrapped Ethereum e altri asset dal protocollo Euler Finance, sfruttando un errore nel tasso di calcolo della piattaforma. Ciò che ha reso questo caso particolarmente notevole è che l’hacker ha restituito volontariamente tutti i fondi e si è scusato. Altri esempi notevoli includono l’hack di Cream Finance (130 milioni di dollari rubati nel 2021) e Polter (12 milioni di dollari rubati nel 2024).
Un prestito flash è stato parte dello schema utilizzato nel 2025 per cancellare 223 milioni di dollari in criptovaluta dal protocollo Cetus basato su Sui.
