Notas Principais
- O invasor roubou aproximadamente US$ 2 milhões em ETH do New Gold Protocol em 18 de setembro.
- O exploit envolveu um flash loan que manipulou com sucesso o price oracle, permitindo ao invasor contornar as verificações de segurança no smart contract.
- O token NGP caiu 88% enquanto o invasor obscurece seus fundos através do Tornado Cash.
O New Gold Protocol, um projeto DeFi de staking, perdeu cerca de 443,8 Ethereum ETH $4 599 volatilidade 24h: 2,2% Market cap: $555,19 B Vol. 24h: $42,83 B , avaliados em US$ 2 milhões, em um exploit em 18 de setembro. O ataque fez com que o token nativo do projeto, NGP, despencasse 88%, eliminando a maior parte de seu valor de mercado em menos de uma hora.
O incidente foi sinalizado por várias empresas de segurança blockchain, incluindo PeckShield e Blockaid. Ambas as empresas confirmaram o valor roubado e rastrearam o movimento dos fundos. A análise da Blockaid identificou a vulnerabilidade específica utilizada pelo invasor.
🚨 Alerta à Comunidade:
O sistema de detecção de exploits da Blockaid identificou múltiplas transações maliciosas visando o token NGP na BSC.
Aproximadamente US$ 2 milhões foram drenados.↓ Estamos monitorando em tempo real e compartilharemos atualizações abaixo pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 17 de setembro de 2025
Ataque de Flash Loan Manipulou o Price Oracle
De acordo com o relatório da Blockaid, o hack foi um ataque de manipulação de price oracle. O smart contract do protocolo tinha uma falha crítica; ele determinava o preço do token NGP observando as reservas de ativos em um único pool de liquidez da Uniswap. Esse método é inseguro porque o preço de um único pool pode ser facilmente manipulado.
O invasor utilizou um flash loan para tomar emprestado uma grande quantidade de ativos. Um flash loan consiste em uma série de transações que tomam e devolvem um empréstimo dentro da mesma transação. Eles usaram esses ativos para distorcer temporariamente as reservas no pool de liquidez, enganando o protocolo para pensar que o token NGP valia quase nada. Isso permitiu ao hacker contornar um limite máximo de compra e adquirir uma enorme quantidade de tokens NGP a preços mínimos.
As próximas transações na cadeia reverteram a negociação inicial e quitaram o flash loan, rendendo ao hacker um lucro de 443,8 ETH. Os fundos foram então transferidos para a rede Ethereum e depositados no mixer Tornado Cash para obscurecer o rastro.
Esse exploit destaca vários sinais de alerta que cercavam o projeto. Diferente de tokens legítimos e auditados, o NGP operava com pouca transparência e sofria com volume de negociação extremamente baixo. Este incidente faz parte de um padrão maior, já que relatórios mostram que os hacks em cripto estão se tornando mais frequentes. Também contribui para o debate sobre a responsabilidade dos desenvolvedores, um tema que empresas de cripto pedem que legisladores abordem.
next
