Le New Gold Protocol a été hacké pour 2 millions USD en raison d'une vulnérabilité oracle sur la BNB Chain.

La plateforme DeFi New Gold Protocol (NGP) est devenue la victime d'une attaque mercredi, entraînant des pertes d'environ 2 millions USD pour le projet. Selon la société de sécurité onchain Blockaid, le hacker a exploité une vulnérabilité dans le mécanisme de price oracle des smart contracts NGP.

Méthode d'attaque

• L'oracle de NGP utilise la fonction getPrice() pour déterminer le prix du token, en faisant référence directement aux réserves dans la paire de trading Uniswap V2.
• Un hacker a réalisé un flash loan avec une grande quantité de tokens, puis a échangé pour modifier fortement le taux de réserve dans le pool :

• Les réserves de USDT ont augmenté de manière spectaculaire.
• Les réserves NGP ont fortement diminué.

• Résultat : getPrice() rapporte que le prix du NGP est extrêmement bas. Cela permet aux hackers de contourner la limite de transaction des smart contracts et d'acheter une grande quantité de tokens NGP à bas prix.

Blockaid déclare : « L'utilisation du prix spot d'une seule pool DEX est extrêmement dangereuse, car les hackers peuvent manipuler les réserves dans une transaction atomique via un flash loan. »

Conséquences

• Le hacker a retiré environ 2 millions USD du pool de liquidités NGP.
• La société de sécurité PeckShield a découvert que la somme d'argent volée avait été blanchie via Tornado Cash.
• Le prix du token NGP a ensuite chuté de 88%, presque effaçant la liquidité du projet.

Contexte

• Il s'agit du dernier incident dans une série d'attaques contre DeFi. Il y a seulement une semaine, le protocole Nemo sur le réseau Sui a également été piraté pour 2,6 millions USD en raison d'une erreur dans un smart contracts qui n'avait pas été auditée de manière approfondie.
• Selon Chainalysis, seulement au cours du premier semestre de 2025, des hackers ont volé plus de 2 milliards USD aux services crypto, dépassant les pertes des années précédentes au même période.

👉 L'incident souligne les risques de sécurité des oracle à source unique (single-source oracle) et la nécessité d'un audit rigoureux avant le déploiement des smart contracts.