Novo Gold Protocol da BNB Chain sofre ataque de US$ 2 milhões no dia do lançamento

O protocolo de staking autodenominado “DeFi 3.0” movido por IA, The New Gold Protocol, construído “com sustentabilidade em seu núcleo”, foi hackeado poucas horas após o lançamento. O ataque ocorreu em 18 de setembro de 2025. O hacker explorou duas falhas no design do NGP. O caso demonstra como a negligência no design do protocolo pode condenar um projeto desde o primeiro dia.

O que é o New Gold Protocol?

O New Gold Protocol é um protocolo de staking construído sobre a blockchain BNB e lançado em 18 de setembro.

Um dos problemas que o New Gold Protocol busca resolver é a “falta de regras de precificação”. Segundo o whitepaper, muitos protocolos DeFi “carecem de mecanismos padronizados para precificação de comportamento, resultando em volatilidade e desordem”.

O “DeFi 3.0 de próxima geração” New Gold Protocol foi projetado para superar concorrentes que não possuem ganhos intrínsecos e cujos modelos de governança são ineficientes. A equipe do NGP via a transparência, justiça e sustentabilidade como possíveis através da otimização por IA.

O New Gold Protocol buscava criar uma plataforma de staking inclusiva com um ambiente transparente e automatizado sustentado por contratos inteligentes. Devido às queimas de tokens, o NGP promovia seu token nativo como deflacionário. Prometia distribuições de rendimento real em vez de incentivos inflacionários e especulativos. O whitepaper do NGP sugeria que a transparência garante responsabilidade. No entanto, isso não foi suficiente.

Como o NGP foi hackeado?

O ataque ocorreu logo após o lançamento do token NGP. A quantidade de tokens NGP que poderia ser comprada era limitada para evitar ataques de inflação de preço, mas o hacker encontrou uma forma de contornar isso.

De acordo com analistas da empresa de segurança blockchain Hacken, seis horas antes do ataque o hacker acumulou um grande número de ativos via flash loans usando diferentes contas. Flash loans são um recurso popular em plataformas DeFi. Eles permitem o empréstimo rápido de criptoativos sem garantia. Os fundos emprestados podem ser usados para arbitragem, roubo de fundos de um protocolo ou manipulação de preços. Como observa a Hacken, os danos causados por ataques de flash loan podem chegar a milhões de dólares.

O atacante utilizou uma tática de manipulação de oráculo. O protocolo determinava o preço do token NGP escaneando suas reservas no pool de liquidez da DEX, o que permitiu ao atacante manipular o preço. O atacante começou a trocar BUSD por NGP na PancakePair, o que elevou rapidamente o preço do NGP.

O New Gold Protocol continha dois limites: um limite de compra e um limite de cooldown para compradores. Ambos foram contornados, pois o atacante usou o endereço “dEaD” como destinatário.

O próximo passo foi drenar quase todos os tokens BUSD do protocolo vendendo NGP. Isso deixou o New Gold Protocol praticamente sem fundos. O atacante então obteve $1,9 milhão em criptomoedas e imediatamente trocou os fundos por ETH baseado em BNB.

Segundo a equipe da Hacken, as ações seguintes incluíram o depósito dos fundos roubados no Tornado Cash através da Ethereum conectada com Across. A ação elevou o preço do NGP enquanto deixava o protocolo com apenas uma pequena quantidade de fundos. Logo, o preço do token NGP despencou 88%.

Infelizmente, apesar dos planos ambiciosos de remodelar o setor DeFi e construir um produto sustentável, o New Gold Protocol negligenciou sua própria segurança e sofreu danos severos. A empresa não comentou o ocorrido. O último tweet diz “estabilidade encontra crescimento”. Foi publicado algumas horas antes do ataque e agora soa como uma piada amarga.

Outros ataques de flash loan

Assim que os flash loans foram introduzidos, ataques desse tipo rapidamente se tornaram uma das táticas usadas por criminosos.

O maior ataque ocorreu em março de 2023. O hacker conseguiu roubar cerca de $197 milhões em Wrapped Bitcoin, Wrapped Ethereum e outros ativos do protocolo Euler Finance. O hacker explorou um erro na taxa de cálculo da plataforma. Os fundos foram enviados para um endereço anteriormente usado pelos notórios hackers da Coreia do Norte, o Lazarus Group. O que tornou esse caso especialmente notável foi que o hacker devolveu voluntariamente todos os fundos e pediu desculpas.

Outros exemplos notáveis incluem o hack da Cream Finance ($130 milhões roubados em 2021) e Polter ($12 milhões roubados em 2024). Um flash loan fez parte do esquema usado em 2025 para retirar $223 milhões em cripto do protocolo Cetus baseado em Sui.