New Gold Protocol 因 BNB Chain 上的 Oracle 漏洞而被黑客入侵 200 万美元

去中心化金融平台 New Gold Protocol (NGP) 已在星期三成为一起攻击的受害者，导致该项目损失约 2 百万 USD。根据链上安全公司 Blockaid 的说法，黑客利用了 NGP 智能合约中的价格预言机机制漏洞。

攻击方式

• NGP的Oracle使用函数getPrice()来确定代币价格，其中直接参考Uniswap V2交易对中的储备。

• 黑客进行了大额的闪电贷，然后交换以强烈改变池中的储备比例:

  • USDT储备激增。
  • NGP储备大幅减少。

• 结果：getPrice() 报告 NGP 的价格处于极低水平。这使得黑客可以绕过智能合约的交易限制，以低价购买大量 NGP 代币。

Blockaid认为：“仅从一个DEX池中使用现货价格是极其危险的，因为黑客可以通过闪电贷款操纵一个原子交易中的储备。”

结果

• 黑客从NGP流动性池中提取了约200万美元。
• 安全公司 PeckShield 发现被盗资金已通过 Tornado Cash 洗钱。
• NGP代币的价格随后暴跌88%，几乎抹去了项目的流动性。

背景

• 这是最近发生在去中心化金融的攻击事件。就在上周，Sui网络上的Nemo Protocol协议也因智能合约未经过充分审计而被黑客攻击，损失260万美元。
• 根据Chainalysis，2025年上半年，黑客从加密服务中盗取了超过20亿美元，超出了往年同期的损失。

👉 事件强调了来自单点 ( 单一来源 oracle) 的安全风险，以及在部署智能合约之前进行严格审计的必要性。