黑客在新黄金协议正式上线仅数小时后便盗走190万美元

新黄金协议（New Gold Protocol）因代币定价和限额机制的安全漏洞，在正式上线仅数小时后便遭遇DeFi黑客攻击，损失190万美元。

这款基于BNB链开发的质押平台于2025年9月18日上线后数小时即遭入侵。该项目自称AI优化的DeFi 3.0协议，旨在为去中心化金融带来透明度与可持续性。但黑客利用两大设计缺陷，几乎掏空协议资金。

安全公司Hacken证实此次攻击经过周密准备。入侵前六小时，攻击者通过闪电贷筹集资产。这种DeFi常见无抵押贷款通常用于高速套利或漏洞利用，本案中被用来操纵NGP价格。

价格操纵与漏洞利用手法

NGP代币价格通过扫描DEX流动性池储备金确定。黑客利用该机制将BUSD在PancakePair兑换为NGP，使代币价格急速飙升。通过人为抬高价格，攻击者得以高价兑换大量NGP代币。

协议虽设有代币购买限额和冷却期防护措施，但攻击者使用技术手段绕过限制——将收款地址设为"dEaD"地址，从而规避购买限制。

资金洗劫与转移

当价格被人为推高后，黑客开始大量抛售NGP，导致协议内BUSD几乎被提空。分析师估算被盗加密资产约190万美元。得手后，攻击者将资金转换为BNB链上的ETH。

赃款随后通过Across桥接器转入以太坊，并借助Tornado Cash混币。此前Euler Finance攻击者也曾将100枚ETH归还受害者，其余资金则转入Tornado Cash以增加追踪难度。NGP价格在操纵期间剧烈波动，攻击结束后暴跌88%。

设计缺陷与监管缺失

NGP试图通过通缩代币、公平治理和真实收益奖励改进现有DeFi模式，白皮书强调透明与可持续性，但其设计忽视了关键安全实践。

由于未能保护价格系统和用户限额机制，协议暴露重大风险。攻击者迅速利用这些漏洞。尽管愿景美好，NGP仍未能避免资金与信任的双重损失。

NGP团队至今未发表声明，其最后一次社交媒体更新停留在攻击发生前。