Новий Gold Protocol на BNB Chain зазнав злому на $2 млн у день запуску

Протокол стейкінгу The New Gold Protocol, який сам себе позиціонує як “DeFi 3.0” та керується AI, побудований “із стійкістю в основі”, був зламаний через кілька годин після запуску. Злам стався 18 вересня 2025 року. Хакер скористався двома недоліками в дизайні NGP. Цей випадок демонструє, як недбалість у проектуванні протоколу може приректи проект з першого дня.

Що таке New Gold Protocol?

The New Gold Protocol — це протокол стейкінгу, побудований на блокчейні BNB і запущений 18 вересня.

Однією з проблем, яку The New Gold Protocol намагається вирішити, є “відсутність правил ціноутворення”. Згідно з whitepaper, багато DeFi-протоколів “не мають стандартизованих механізмів для ціноутворення поведінки, що призводить до волатильності та безладу.”

“DeFi 3.0 наступного покоління” New Gold Protocol мав на меті перевершити конкурентів, які не мають внутрішнього доходу та неефективні моделі управління. Команда NGP бачила шлях до досягнення прозорості, справедливості та стійкості через AI-оптимізацію.

The New Gold Protocol прагнув створити інклюзивну платформу стейкінгу з прозорим, автоматизованим середовищем, яке підтримується смарт-контрактами. Завдяки спалюванню токенів, NGP просував свій нативний токен як дефляційний. Він обіцяв реальні прибутки замість інфляційних та спекулятивних стимулів. У whitepaper NGP зазначалося, що прозорість забезпечує підзвітність. Однак виявилося, що цього недостатньо.

Як було зламано NGP?

Злам відбувся невдовзі після запуску токена NGP. Кількість токенів NGP, які можна було купити, була обмежена, щоб запобігти атакам на підвищення ціни, але хакер знайшов спосіб обійти це.

За словами аналітиків компанії з безпеки блокчейну Hacken, за шість годин до атаки хакер накопичив велику кількість активів через flash loans, використовуючи різні акаунти. Flash loans — це популярна функція на DeFi-платформах. Вони дозволяють швидко позичати криптоактиви без застави. Позичені кошти можуть бути використані для арбітражної торгівлі, крадіжки коштів з протоколу або маніпуляції ціною. Як зазначає Hacken, збитки від flash loan атак можуть сягати мільйонів доларів.

Зловмисник використав тактику маніпуляції oracle. Протокол визначав ціну токена NGP, скануючи свої резерви у пулі ліквідності DEX, що дозволило зловмиснику маніпулювати ціною. Хакер почав обмінювати BUSD на NGP на PancakePair, що швидко підняло ціну NGP.

У New Gold Protocol було два обмеження: ліміт на купівлю та ліміт на час очікування для покупців. Обидва були обійдені, оскільки зловмисник використав адресу “dEaD” як отримувача.

Наступним кроком було виведення майже всіх токенів BUSD з протоколу шляхом продажу NGP. Це залишило The New Gold Protocol майже без коштів. Зловмисник отримав криптовалюту на суму $1.9 мільйона і негайно обміняв ці кошти на ETH на базі BNB.

За даними команди Hacken, подальші дії включали внесення викрадених коштів до Tornado Cash через Ethereum, підключений через Across. Це підняло ціну NGP, залишивши протокол з мінімальною кількістю коштів. Незабаром ціна токена NGP впала на 88%.

На жаль, незважаючи на амбітні плани змінити сектор DeFi та створити стійкий продукт, The New Gold Protocol знехтував власною безпекою та зазнав серйозних збитків. Компанія не прокоментувала ситуацію. Останній твіт говорить “стабільність зустрічає зростання”. Він був опублікований за кілька годин до атаки і тепер виглядає як гіркий жарт.

Інші flash loan атаки

Як тільки були впроваджені flash loans, flash loan атаки швидко стали однією з тактик, які використовують злочинці.

Найбільша атака відбулася у березні 2023 року. Хакеру вдалося викрасти близько $197 мільйонів у Wrapped Bitcoin, Wrapped Ethereum та інших активах з протоколу Euler Finance. Хакер використовував помилку у розрахунковій ставці платформи. Кошти були відправлені на адресу, яку раніше використовували відомі хакери з КНДР, Lazarus Group. Особливістю цього випадку стало те, що хакер добровільно повернув усі кошти та вибачився.

Інші помітні приклади включають злам Cream Finance ($130 мільйонів викрадено у 2021 році) та Polter ($12 мільйонів викрадено у 2024 році). Flash loan був частиною схеми, використаної у 2025 році для виведення $223 мільйонів у криптовалюті з протоколу Cetus на базі Sui.