New Gold Protocol diretas 2 juta USD karena celah oracle di BNB Chain

Platform DeFi New Gold Protocol (NGP) telah menjadi korban serangan pada hari Rabu, yang menyebabkan proyek mengalami kerugian sekitar 2 juta USD. Menurut perusahaan keamanan onchain Blockaid, hacker telah mengeksploitasi celah dalam mekanisme price oracle dari smart contract NGP.

Cara menyerang

• Oracle NGP menggunakan fungsi getPrice() untuk menentukan harga token, yang langsung merujuk pada cadangan dalam pasangan perdagangan Uniswap V2.
• Hacker telah melakukan flash loan dengan jumlah token besar, kemudian menukar untuk mengubah secara drastis rasio cadangan dalam pool:

• Cadangan USDT meningkat pesat.
  • Cadangan NGP menurun tajam.

• Hasil: getPrice() melaporkan harga NGP pada tingkat yang sangat rendah. Ini memungkinkan hacker untuk melewati batasan transaksi dari smart contract dan membeli sejumlah besar token NGP dengan harga murah.

Blockaid menyatakan: “Menggunakan harga spot dari satu pool DEX saja sangat berbahaya, karena hacker dapat memanipulasi cadangan dalam satu transaksi atomic menggunakan flash loan.”

Akibat

• Hacker telah menarik sekitar 2 juta USD dari pool likuiditas NGP.
• Perusahaan keamanan PeckShield menemukan bahwa jumlah uang yang dicuri telah dicuci melalui Tornado Cash.
• Harga token NGP kemudian anjlok 88%, hampir menghapus likuiditas proyek.

Konteks

• Ini adalah kasus terbaru dalam rangkaian serangan terhadap DeFi. Hanya seminggu yang lalu, protokol Nemo Protocol di jaringan Sui juga diretas sebesar 2,6 juta USD karena kesalahan dalam smart contract yang belum diaudit dengan cermat.
• Menurut Chainalysis, hanya dalam enam bulan pertama tahun 2025, hacker telah mencuri lebih dari 2 miliar USD dari layanan crypto, melewati kerugian pada periode yang sama di tahun-tahun sebelumnya.

👉 Kasus ini menyoroti risiko keamanan dari oracle sumber tunggal (single-source oracle) dan perlunya audit yang ketat sebelum menerapkan smart contract.