The New Gold Protocol: En Hackinghistorie
Den AI-drevne, selvbeskrevne «DeFi 3.0» stakingprotokollen The New Gold Protocol, bygget «med bærekraft i kjernen,» ble hacket timer etter lansering. Hacking skjedde 18. september 2025. Hackeren utnyttet to feil i designet av NGP. Saken viser hvordan uaktsomhet i protokolldesign kan ødelegge et prosjekt fra dag én.
The New Gold Protocol er en stakingprotokoll bygget på toppen av BNB blockchain og lansert 18. september. Et av problemene som The New Gold Protocol har som mål å løse, er «mangelen på prisregler.» Ifølge whitepaperet mangler mange DeFi-protokoller «standardiserte mekanismer for atferdsprising, noe som resulterer i volatilitet og uorden.» Den «neste generasjons DeFi 3.0» New Gold Protocol var ment å overgå konkurrenter som ikke har iboende inntekter og hvis styringsmodeller er ineffektive. NGP-teamet så veien til å oppnå åpenhet, rettferdighet og bærekraft gjennom AI-optimalisering.
Hackingens Detaljer
NGP strevde etter å skape en inkluderende stakingplattform med et transparent, automatisert miljø opprettholdt via smarte kontrakter. På grunn av token-brenning fremmet NGP sitt innfødte token som deflasjonært. Det lovet reelle avkastningsdistribusjoner i stedet for inflasjons- og spekulative insentiver. NGPs whitepaper antydet at åpenhet sikrer ansvarlighet. Imidlertid viste det seg at dette ikke var nok.
«Hacking skjedde kort tid etter lanseringen av NGP-tokenet.»
Mengden NGP-tokens som kunne kjøpes var begrenset for å forhindre prisinflasjonsangrep, men hackeren fant en måte å omgå dette på. Ifølge analytikere fra blockchain-sikkerhetsselskapet Hacken, akkumulerte hackeren et høyt antall eiendeler via flash-lån seks timer før angrepet ved å bruke forskjellige kontoer. Flash-lån er en funksjon populær på DeFi-plattformer som tillater rask låning av kryptovaluta uten sikkerhet.
Som Hacken påpeker, kan skadene forårsaket av flash-lånsangrep beløpe seg til millioner av dollar. Angriperen brukte en oracle-manipulasjonstaktikk. Protokollen bestemte NGP-tokenprisen ved å skanne reservene i DEXs likviditetspool, noe som tillot angriperen å manipulere prisen. Angriperen begynte å bytte BUSD til NGP på PancakePair, noe som raskt pumpet NGPs pris.
Konsekvenser av Angrepet
The New Gold Protocol inneholdt to begrensninger: en kjøpsgrense og en nedkjølingsgrense for kjøpere. Begge ble omgått da angriperen brukte «dEaD»-adressen som mottaker. Neste trekk var å tømme nesten alle BUSD-tokenene fra protokollen ved å selge NGP. Det etterlot The New Gold Protocol med nesten ingen midler. Angriperen fikk deretter $1,9 millioner verdt av krypto og byttet umiddelbart midlene til BNB-basert ETH.
Ifølge Hacken-teamet inkluderte de følgende handlingene å sette inn stjålne midler til Tornado Cash gjennom Ethereum-broket med Across. Handlingen sendte NGP-prisen opp mens den etterlot protokollen med bare en liten mengde midler. Snart falt NGP-tokenprisen med 88%.
«Stabilitet møter vekst.»
Den siste tweeten fra selskapet lyder «stabilitet møter vekst.» Den ble publisert flere timer før angrepet og ser nå ut som en bitter spøk. Dessverre, til tross for ambisiøse planer om å omforme DeFi-sektoren og bygge et bærekraftig produkt, neglisjerte The New Gold Protocol sin egen sikkerhet og møtte alvorlig skade. Selskapet kommenterte ikke saken.
Flash-lånsangrep i DeFi
Så snart flash-lån ble introdusert, ble flash-lånsangrep raskt en av taktikkene brukt av kriminelle. Det største angrepet fant sted i mars 2023, hvor hackeren klarte å stjele rundt $197 millioner i Wrapped Bitcoin, Wrapped Ethereum, og andre eiendeler fra Euler Finance-protokollen. Hackeren brukte en feil i plattformens beregningsrate.
Det som gjorde denne saken spesielt bemerkelsesverdig, er at hackeren frivillig returnerte alle midlene og ba om unnskyldning. Andre bemerkelsesverdige eksempler inkluderer Cream Finance-hacket ($130 millioner stjålet i 2021) og Polter ($12 millioner stjålet i 2024). Et flash-lån var en del av planen som ble brukt i 2025 for å utslette $223 millioner i krypto fra Cetus-protokollen basert på Sui.
