AI-paremtas, savarankiškai aprašytas „Defi 3.0“ statymo protokolas Naujasis aukso protokolas, pastatytas „su tvarumu jo esmė“, buvo nulaužtas valandomis po paleidimo. Įsilaužimas įvyko 2025 m. Rugsėjo 18 d. „Hacker“ išnaudojo du NGP dizaino trūkumus. Byla parodo, kaip protokolo projektavimo aplaidumas nuo pirmosios dienos gali pasmerkti projektą.
Santrauka
- Beveik 2 milijonai dolerių kriptovaliutų buvo pavogta iš ką tik paleistos naujos aukso protokolo platformos per „Flash“ paskolos ataką.
- Pavogti pinigai buvo išsiųsti „Tornado Cash“. Įsilaužėlis nenustatytas.
- Naujojo aukso protokolo komanda tylėja.
- Dėl didžiausių paskolų atakų buvo padaryta daugiau nei 100 milijonų dolerių nuostolių.
Kas yra naujas aukso protokolas?
Naujasis „Gold“ protokolas yra statymo protokolas, sukurtas ant BNB „blockchain“ viršaus ir paleistas rugsėjo 18 d.
Viena iš problemų, kurias naujasis aukso protokolas turi išspręsti, yra „kainų nustatymo taisyklių trūkumas“. Anot baltojo popieriaus, daugeliui DEFI protokolų „trūksta standartizuotų elgesio kainų nustatymo mechanizmų, dėl kurių kintamumas ir sutrikimas yra kintamumas ir sutrikimas“.
Naujas „naujos kartos DEFI 3.0“ aukso protokolas buvo skirtas aplenkti konkurentus, kurie neturi vidinio uždarbio ir kurių valdymo modeliai yra neveiksmingi. NGP komanda pamatė būdą, kaip pasiekti skaidrumą, sąžiningumą ir tvarumą, optimizuodama AI.
Naujasis aukso protokolas stengėsi sukurti įtraukiančią statymo platformą su skaidria, automatizuota aplinka, palaikoma per intelektualiąsias sutartis. Dėl žetonų nudegimų NGP paskatino savo gimtąjį žetoną kaip defliaciją. Ji pažadėjo paskirstyti realaus pajamingus, o ne infliacijos ir spekuliacines paskatas. NGP baltasis popierius pasiūlė, kad skaidrumas užtikrintų atskaitomybę. Tačiau paaiškėjo, kad to nepakako.
Kaip NGP buvo nulaužtas?
Įsilaužimas įvyko netrukus po NGP prieigos rakto paleidimo. NGP žetonų, kuriuos buvo galima įsigyti, kiekis buvo ribotas siekiant užkirsti kelią kainų infliacijos atakoms, tačiau įsilaužėlis rado būdą jį apeiti.
Anot analitikų iš „Blockchain Security Company Hacken“, prieš šešias valandas iki išpuolio įsilaužėlis sukaupė didelį turto skaičių per „Flash“ paskolas, naudodamas skirtingas sąskaitas. „Flash Loans“ yra funkcija, populiari DEFI platformose. Jie leidžia greitai skolintis kriptovaliutų turtą be įkaito. Skolintos lėšos gali būti naudojamos prekybai arbitražu, vogti lėšas iš protokolo arba manipuliuoti kainomis. Kaip pažymi Hackenas, dėl „Flash“ paskolų atakų padarytos žalos gali siekti milijonų dolerių.
Užpuolikas naudojo „Oracle“ manipuliacijos taktiką. Protokolas nustatė NGP prieigos rakto kainą nuskaitydama savo rezervus DEX likvidumo fonde, kuris leido užpuolikui manipuliuoti kaina. Užpuolikas pradėjo keistis Busd į NGP ant „Pancakeepair“, kuris greitai išpūtė NGP kainą.
Naujajame aukso protokole buvo dvi ribos: pirkėjų pirkėjų limitas ir atokymo riba. Abu buvo apeiti, nes užpuolikas naudojo „negyvą“ adresą kaip gavėją.
Kitas žingsnis buvo beveik visų „Busd“ žetonų iš protokolo išleidimas parduodant NGP. Naujasis aukso protokolas paliko beveik be lėšų. Tada užpuolikas įgijo 1,9 mln. USD vertės kriptovaliutą ir iškart pakeitė lėšas į BNB pagrįstą ETH.
Anot „Hacken“ komandos, šie veiksmai apėmė pavogtų lėšų deponavimą „Tornado Cash“ per „Ethereum“. Veiksmas išsiuntė NGP kainą, palikdamas protokolą tik su nedidele lėšų kiekiu. Netrukus NGP žetono kaina smuko 88%.
Deja, nepaisant ambicingų planų pakeisti DEFI sektorių ir sukurti tvarių produktų, naujasis aukso protokolas nepaisė savo saugumo ir padarė didelę žalą. Bendrovė nekomentavo šio klausimo. Naujausiame tviteryje rašoma: „Stabilumas atitinka augimą“. Jis buvo paskelbtas keliomis valandomis prieš išpuolį ir dabar atrodo kaip kartis pokštas.
Kiti „Flash“ paskolų atakos
Kai tik buvo įvestos paskolos „Flash“, „Flash“ paskolų išpuoliai greitai tapo viena iš nusikaltėlių naudojamų taktikų.
Didžiausias išpuolis įvyko 2023 m. Kovo mėn. „Hacker“ sugebėjo pavogti apie 197 milijonus dolerių įvyniojamame „Bitcoin“, „Winted Ethereum“ ir kitame „Euler Finance“ protokole. Hakeris naudojo platformos skaičiavimo greičio klaidą. Lėšos buvo išsiųstos adresu, kurį anksčiau naudoja „Lazarus Group“, „Lazarus“ grupė. Ypač pastebima, kad įsilaužėlis savo noru grąžino visas lėšas ir atsiprašė.
Kiti pastebimi pavyzdžiai yra „Cream Finance Hack“ (2021 m. Pavogtas 130 milijonų dolerių) ir „Polter“ (12 milijonų dolerių, pavogtų 2024 m.). „Flash“ paskola buvo schemos dalis, naudojama 2025 m., Kad būtų sunaikinta 223 mln. USD kriptovaliutų iš CETUS protokolo, pagrįsto SUI.
