New Gold Protocol, BNB Chain üzerindeki oracle açığı nedeniyle 2 milyon USD hacklendi.

DeFi New Gold Protocol (NGP) platformı, Çarşamba günü bir saldırının kurbanı oldu ve proje yaklaşık 2 milyon USD zarar gördü. Onchain güvenlik şirketi Blockaid'a göre, hackerlar NGP akıllı sözleşmelerinin fiyat oracle mekanizmasındaki bir açığı istismar etti.

Saldırı yöntemi

• NGP'nin Oracle'ı, Uniswap V2 işlem çiftindeki rezervlere doğrudan referans veren getPrice() fonksiyonunu kullanarak token fiyatını belirler.
• Hacker büyük miktarda token ile flash loan gerçekleştirdi, ardından havale yaparak havuzdaki rezerv oranını güçlü bir şekilde değiştirdi:

• USDT rezervleri fırladı.
• NGP rezervleri önemli ölçüde azaldı.

• Sonuç: getPrice(), NGP fiyatını çok düşük bir seviyede rapor ediyor. Bu, hackerların sözleşmenin işlem sınırını atlamasına ve düşük bir fiyata büyük miktarda NGP tokeni satın almasına olanak tanıyor.

Blockaid değerlendirmesi: "Tek bir DEX havuzundan spot fiyat kullanmak son derece tehlikelidir, çünkü hacker'lar flash loan ile atomik bir işlemde rezervleri manipüle edebilir."

Sonuç

• Hacker, NGP likidite havuzundan yaklaşık 2 milyon USD çekti.
• Güvenlik şirketi PeckShield, çalınan paranın Tornado Cash üzerinden aklandığını tespit etti.
• NGP token'in fiyatı daha sonra %88 düştü, proje likiditesini neredeyse sıfıra indirdi.

Bağlam

• Bu, DeFi'ye yönelik saldırılar zincirindeki en son olaydır. Geçen hafta, Sui ağındaki Nemo Protocol protokolü de, yeterince denetlenmemiş akıllı sözleşmelerdeki bir hata nedeniyle 2,6 milyon USD'lik bir hackleme olayı yaşadı.
• Chainalysis'a göre, 2025 yılının ilk yarısında, hackerlar kripto hizmetlerinden 2 milyar USD'den fazla çaldı ve önceki yılların aynı dönemindeki zararı aştı.

👉 Olay, ( tek kaynak oracle)'den gelen güvenlik risklerini ve akıllı sözleşmelerin uygulanmasından önce sıkı bir denetim gerekliliğini vurgulamaktadır.