O protocolo de colheita “Defi 3.0” acionado por IA, o novo protocolo de ouro, construído “com sustentabilidade em seu núcleo”, foi invadido horas após o lançamento. Os hackers ocorreram em 18 de setembro de 2025. O hacker explorou duas falhas no design do NGP. O caso demonstra como a negligência no design do protocolo pode condenar um projeto desde o primeiro dia.
Resumo
- Quase US $ 2 milhões em criptografia foram roubados da nova plataforma de protocolo de ouro recém-lançada por meio de um ataque de empréstimo em flash.
- O dinheiro roubado foi enviado para o Tornado Cash. O hacker não é identificado.
- A equipe por trás do novo protocolo de ouro fica em silêncio.
- Os maiores ataques de empréstimos flash resultaram em mais de US $ 100 milhões em perdas.
O que é o novo protocolo de ouro?
O novo Protocolo de Ouro é um protocolo de estaca construído no topo da blockchain BNB e lançado em 18 de setembro.
Um dos problemas que o novo protocolo de ouro aponta para resolver é a “falta de regras de preços”. Segundo o Whitepaper, muitos protocolos de defi “carecem de mecanismos padronizados para preços de comportamento, resultando em volatilidade e desordem”.
O novo protocolo de ouro “Defi 3,0 da próxima geração” foi destinado a superar os concorrentes que não possuem ganhos intrínsecos e cujos modelos de governança são ineficientes. A equipe do NGP viu o caminho para alcançar transparência, justiça e sustentabilidade através da otimização da IA.
O novo Protocolo de Ouro estava se esforçando para criar uma plataforma de apostas inclusiva com um ambiente transparente e automatizado, sustentado por contratos inteligentes. Devido a queimaduras de token, o NGP promoveu seu token nativo como deflacionário. Ele prometeu distribuições de relevo em vez de incentivos inflacionários e especulativos. O Whitepaper NGP sugeriu que a transparência garante responsabilidade. No entanto, aconteceu que isso não foi suficiente.
Como o NGP foi invadido?
Os hackers ocorreram logo após o lançamento do token NGP. A quantidade de tokens NGP que poderia ser comprada foi limitada para evitar ataques de inflação de preços, mas o hacker encontrou uma maneira de ignorá-lo.
De acordo com analistas da empresa de segurança blockchain Hacken, seis horas antes do ataque, o hacker acumulou um alto número de ativos por meio de empréstimos flash usando contas diferentes. Os empréstimos flash são um recurso popular nas plataformas Defi. Eles permitem emprestar ativos criptográficos rapidamente sem garantia. Fundos emprestados podem ser usados para negociação de arbitragem, roubar fundos de um protocolo ou manipulação de preços. Como observa Hacken, os danos causados por ataques de empréstimos flash podem chegar a milhões de dólares.
O invasor usou uma tática de manipulação oracle. O protocolo determinou o preço do token NGP, digitalizando suas reservas no pool de liquidez do Dex, o que permitiu ao invasor manipular o preço. O atacante começou a trocar Busd por NGP no Pancakepair, que bombeou o preço do NGP rapidamente.
O novo protocolo de ouro continha dois limites: um limite de compra e um limite de recarga para os compradores. Ambos foram ignorados quando o atacante usou o endereço “morto” como destinatário.
O próximo passo foi drenar quase todos os tokens Busd do protocolo através da venda de NGP. Deixou o novo protocolo de ouro sem quase nenhum fundos. O atacante ganhou US $ 1,9 milhão em criptografia e imediatamente trocou os fundos pelo ETH baseado em BNB.
De acordo com a equipe de Hacken, as seguintes ações incluíram depositar fundos roubados em dinheiro de tornado através do Ethereum preenchido. A ação enviou o preço do NGP ao deixar o protocolo com apenas uma pequena quantidade de fundos. Logo, o preço do token NGP despencou 88%.
Infelizmente, apesar dos planos ambiciosos de remodelar o setor Defi e construir um produto sustentável, o novo protocolo de ouro negligenciou sua própria segurança e enfrentou danos graves. A empresa não comentou o assunto. O último tweet diz “A estabilidade atende ao crescimento”. Foi publicado várias horas antes do ataque e agora parece uma piada amarga.
Outros ataques de empréstimo flash
Assim que os empréstimos flash foram introduzidos, os ataques de empréstimos flash rapidamente se tornaram uma das táticas usadas por criminosos.
O maior ataque ocorreu em março de 2023. O hacker conseguiu roubar cerca de US $ 197 milhões em Bitcoin embrulhado, Ethereum embrulhado e outros ativos do Protocolo de Finanças de Euler. O hacker estava usando um erro na taxa de cálculo da plataforma. Os fundos foram enviados para um endereço usado anteriormente pelos notórios hackers da RPDC, o Lazarus Group. O que tornou esse caso especialmente notável é que o hacker retornou voluntariamente todos os fundos e pediu desculpas.
Outros exemplos notáveis incluem o Cream Finance Hack (US $ 130 milhões roubados em 2021) e Polter (US $ 12 milhões roubados em 2024). Um empréstimo flash fazia parte do esquema usado em 2025 para acabar com US $ 223 milhões em criptografia do protocolo CETUS baseado na SUI.
Fontecrypto.news
