New Gold Protocol foi hackeado em 2 milhões USD devido a uma vulnerabilidade de oracle na BNB Chain

A plataforma DeFi New Gold Protocol (NGP) foi vítima de um ataque na quarta-feira, resultando em um prejuízo de cerca de 2 milhões USD para o projeto. Segundo a empresa de segurança onchain Blockaid, o hacker explorou uma vulnerabilidade no mecanismo de price oracle dos contratos inteligentes NGP.

Método de ataque

• O Oracle da NGP usa a função getPrice() para determinar o preço do token, referindo-se diretamente à reserva no par de negociação Uniswap V2.
• O hacker realizou um flash loan com uma grande quantidade de tokens, em seguida, trocou para alterar drasticamente a taxa de reservas no pool:

• As reservas de USDT aumentaram drasticamente.
• A reserva de NGP caiu drasticamente.

• Resultado: getPrice() reporta o preço do NGP a um nível extremamente baixo. Isso permite que hackers ignorem o limite de transação do contrato e adquiram uma grande quantidade de tokens NGP a um preço baixo.

A Blockaid observa: "Usar o preço spot de um único pool DEX é extremamente perigoso, pois hackers podem manipular as reservas em uma transação atômica usando um flash loan."

Consequências

• O hacker retirou cerca de 2 milhões USD do pool de liquidez NGP.
• A empresa de segurança PeckShield descobriu que o dinheiro roubado foi lavado através do Tornado Cash.
• O preço do token NGP caiu 88%, quase eliminando a liquidez do projeto.

Contexto

• Este é o mais recente incidente numa série de ataques ao DeFi. Apenas na semana passada, o protocolo Nemo Protocol na rede Sui também foi hackeado em 2,6 milhões de USD devido a uma falha em contratos inteligentes que não foram auditados minuciosamente.
• De acordo com a Chainalysis, apenas na primeira metade de 2025, hackers roubaram mais de 2 bilhões USD de serviços de criptomoedas, superando as perdas do mesmo período dos anos anteriores.

👉 O caso destaca os riscos de segurança das oracles de fonte única (single-source oracle) e a necessidade de auditorias rigorosas antes da implementação de contratos inteligentes.