Взлом протокола стейкинга New Gold
Протокол стейкинга New Gold, описываемый как «DeFi 3.0» и управляемый искусственным интеллектом, был взломан всего через несколько часов после своего запуска. Хакерская атака произошла 18 сентября 2025 года. Злоумышленник использовал два недостатка в дизайне протокола NGP, что демонстрирует, как небрежность в проектировании может привести к провалу с самого начала.
Цели и проблемы протокола
Протокол New Gold, построенный на блокчейне BNB, стремился решить проблему «отсутствия правил ценообразования». Согласно белой книге, многие DeFi-протоколы «не имеют стандартизированных механизмов для ценообразования, что приводит к волатильности и беспорядку». New Gold, как «поколение DeFi 3.0», должен был превзойти конкурентов, которые не имеют внутренних доходов и чьи модели управления неэффективны.
Команда NGP видела путь к достижению прозрачности, справедливости и устойчивости через оптимизацию с помощью ИИ. Масштабируемый, прозрачный и ориентированный на время, New Gold Protocol устанавливает новую планку для протоколов стейкинга.
Стратегия и недостатки
Протокол стремился создать инклюзивную платформу стейкинга с прозрачной, автоматизированной средой, поддерживаемой смарт-контрактами. Благодаря сжиганию токенов NGP, протокол продвигал свой токен как дефляционный, обещая реальные распределения доходов вместо инфляционных и спекулятивных стимулов.
В белой книге NGP утверждалось, что прозрачность обеспечивает подотчетность, однако этого оказалось недостаточно. Хакерская атака произошла вскоре после запуска токена NGP. Количество токенов NGP, доступных для покупки, было ограничено, чтобы предотвратить инфляцию цен, но злоумышленник нашел способ это обойти.
Методы атаки
Согласно аналитикам из компании по безопасности блокчейнов Hacken, за шесть часов до атаки хакер накопил значительное количество активов через флеш-кредиты, используя разные аккаунты. Флеш-кредиты — это функция, популярная на платформах DeFi, позволяющая быстро занимать криптоактивы без залога. Занятые средства могут использоваться для арбитражной торговли, кражи средств из протокола или манипуляции ценами.
Как отмечает Hacken, ущерб от атак флеш-кредитов может составлять миллионы долларов.
Нападающий использовал тактику манипуляции оракулом. Протокол определял цену токена NGP, сканируя его резервы в ликвидном пуле DEX, что позволяло злоумышленнику манипулировать ценой. Нападающий начал обменивать BUSD на NGP на PancakePair, что быстро подняло цену NGP.
Протокол New Gold имел два ограничения: лимит на покупку и лимит ожидания для покупателей. Оба были обойдены, так как нападающий использовал адрес «dEaD» в качестве получателя. Следующим шагом было изъятие почти всех токенов BUSD из протокола через продажу NGP, что оставило New Gold Protocol почти без средств.
Последствия атаки
Нападающий затем получил криптовалюту на сумму $1,9 миллиона и немедленно обменял средства на ETH на базе BNB. Согласно команде Hacken, следующие действия включали депозит украденных средств в Tornado Cash через Ethereum, связанный с Across. Это действие подняло цену NGP, оставив протокол с лишь небольшой суммой средств. Вскоре цена токена NGP упала на 88%.
К сожалению, несмотря на амбициозные планы по преобразованию сектора DeFi и созданию устойчивого продукта, Протокол New Gold пренебрег своей безопасностью и понес серьезные убытки. Компания не прокомментировала ситуацию. Последний твит гласил:
«стабильность встречает рост»
Он был опубликован за несколько часов до атаки и теперь выглядит как горькая шутка.
История атак флеш-кредитов
Как только флеш-кредиты были введены, атаки флеш-кредитов быстро стали одной из тактик, используемых преступниками. Самая крупная атака произошла в марте 2023 года, когда хакер смог украсть около $197 миллионов в Wrapped Bitcoin, Wrapped Ethereum и других активах из протокола Euler Finance, используя ошибку в расчетной ставке платформы. Средства были отправлены на адрес, ранее использованный печально известными хакерами КНДР, группой Lazarus.
Что сделало этот случай особенно примечательным, так это то, что хакер добровольно вернул все средства и извинился. Другие примечательные примеры включают хак Cream Finance (украдено $130 миллионов в 2021 году) и Polter ($12 миллионов украдено в 2024 году). Флеш-кредит был частью схемы, использованной в 2025 году для вывода $223 миллионов в криптовалюте из протокола Cetus на базе Sui.
