New Gold Protocol був зламаний на 2 мільйони USD через вразливість ораклу на BNB Chain

Платформа DeFi New Gold Protocol (NGP) стала жертвою атаки в середу, внаслідок чого проект зазнав збитків приблизно на 2 мільйони USD. За даними компанії з безпеки onchain Blockaid, хакер експлуатував уразливість в механізмі price oracle смартконтракта NGP.

Спосіб атаки

• Оракул NGP використовує функцію getPrice() для визначення ціни токена, при цьому безпосередньо посилаючись на резерви в торговій парі Uniswap V2.
• Хакер здійснив flash loan з великою кількістю токенів, після чого обміняв їх для суттєвої зміни співвідношення резервів у пулі:

• Резерви USDT різко зросли.
• Резерв NGP різко зменшився.

• Результат: getPrice() повідомляє про ціну NGP на наднизькому рівні. Це дозволяє хакерам обійти обмеження угод смартконтрактів і купити велику кількість токенів NGP за низькою ціною.

Blockaid вважає: "Використання спотової ціни з одного єдиного пулу DEX є надзвичайно небезпечним, оскільки хакер може маніпулювати резервами в атомній транзакції за допомогою флеш-кредиту."

Наслідки

• Хакер вивів близько 2 мільйонів USD з ліквідного пулу NGP.
• Компанія безпеки PeckShield виявила, що вкрадені кошти були відмиті через Tornado Cash.
• Ціна токена NGP потім впала на 88%, майже знищивши ліквідність проєкту.

Контекст

• Це остання подія в серії атак на DeFi. Лише на минулому тижні протокол Nemo Protocol на платформі Sui також був зламаний на 2,6 мільйона USD через помилку в смартконтракті, який не був ретельно перевірений.
• За даними Chainalysis, лише в першій половині 2025 року хакери вкрали понад 2 мільярди USD з крипто-сервісів, перевищивши рівень збитків за аналогічний період попередніх років.

👉 Справа підкреслює ризики безпеки від одиночних ораклів (single-source oracle) та необхідність ретельного аудиту перед розгортанням смартконтрактів.