重點摘要
- 攻擊者於9月18日從New Gold Protocol竊取了約200萬美元價值的ETH。
- 此次漏洞利用涉及閃電貸,成功操縱了價格預言機,使攻擊者能夠繞過智能合約中的安全檢查。
- 攻擊者通過Tornado Cash混幣,NGP代幣價格暴跌88%。
New Gold Protocol是一個DeFi質押項目,於9月18日遭遇攻擊,損失約443.8枚Ethereum(ETH),價值約200萬美元。此次攻擊導致該項目原生代幣NGP價格暴跌88%,在不到一小時內幾乎抹去其市值。
此次事件被多家區塊鏈安全公司發現,包括PeckShield和Blockaid。兩家公司均確認了被盜金額並追蹤了資金流向。Blockaid的分析指出了攻擊者利用的具體漏洞。
🚨 社群警報:
Blockaid的漏洞偵測系統發現多筆針對BSC上NGP代幣的惡意交易。
約200萬美元資金已被盜取。↓ 我們正在實時監控,後續更新請見下方 pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) 2025年9月17日
閃電貸攻擊操縱價格預言機
根據Blockaid報告,這次駭客攻擊屬於價格預言機操縱攻擊。該協議的智能合約存在重大缺陷:它僅通過單一Uniswap流動性池的資產儲備來判斷NGP代幣價格。這種方式極不安全,因為單一池子的價格很容易被操縱。
攻擊者利用閃電貸借入大量資產。閃電貸是一系列在同一筆交易中借入並歸還貸款的操作。他們利用這些資產暫時扭曲流動性池的儲備,誘使協議誤以為NGP代幣幾乎一文不值。這使駭客能夠繞過最大購買限制,以極低價格購買大量NGP代幣。
隨後的交易鏈將初始交易反向並歸還閃電貸,駭客最終獲利443.8枚ETH。這些資金隨後被轉移至Ethereum網絡,並存入Tornado Cash混幣器以混淆資金流向。
此次漏洞利用凸顯了該項目存在的多項警訊。與經過審計的正規代幣不同,NGP缺乏透明度,且交易量極低。這起事件也是加密貨幣駭客事件日益頻繁的縮影之一。同時也加劇了關於開發者責任的討論,這是加密公司呼籲立法者關注的議題。
next
