New Gold Protocol fue hackeado por 2 millones de USD debido a una vulnerabilidad en el oracle en BNB Chain

La plataforma DeFi New Gold Protocol (NGP) se convirtió en víctima de un ataque el miércoles, causando daños al proyecto por aproximadamente 2 millones USD. Según la empresa de seguridad onchain Blockaid, el hacker explotó una vulnerabilidad en el mecanismo de price oracle de los contratos inteligentes NGP.

Método de ataque

• El Oracle de NGP utiliza la función getPrice() para determinar el precio del token, en la que se hace referencia directamente a las reservas en el par de negociación de Uniswap V2.
• Un hacker realizó un préstamo flash con una gran cantidad de tokens, luego intercambió para alterar drásticamente la tasa de reserva en el pool:

• Las reservas de USDT aumentaron enormemente.
• La reserva de NGP ha disminuido drásticamente.

• Resultado: getPrice() informa que el precio de NGP está en un nivel extremadamente bajo. Esto permite a los hackers eludir el límite de transacciones del contrato y adquirir una gran cantidad de tokens NGP a un precio bajo.

Blockaid opina: “El uso del precio spot de un único pool DEX es extremadamente peligroso, ya que los hackers pueden manipular las reservas en una transacción atómica mediante un préstamo flash.”

Consecuencias

• Un hacker ha retirado aproximadamente 2 millones de USD del pool de liquidez NGP.
• La empresa de seguridad PeckShield ha descubierto que el dinero robado ha sido lavado a través de Tornado Cash.
• El precio del token NGP luego se desplomó un 88%, casi eliminando la liquidez del proyecto.

Contexto

• Este es el caso más reciente en una serie de ataques a DeFi. Solo la semana pasada, el protocolo Nemo Protocol en la red Sui también fue hackeado por 2,6 millones USD debido a un error en contratos inteligentes que no habían sido auditados adecuadamente.
• Según Chainalysis, solo en la primera mitad de 2025, los hackers han robado más de 2 mil millones USD de los servicios de criptomonedas, superando las pérdidas de los mismos periodos de años anteriores.

👉 El caso destaca el riesgo de seguridad de los oráculos de un solo punto (single-source oracle) y la necesidad de una auditoría rigurosa antes de implementar contratos inteligentes.