自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

NGP协议遭200万美元漏洞攻击,资金已转入Tornado Cash

2025-09-18 23:00:34
收藏

新黄金协议遭黑客攻击:闪电贷漏洞致200万美元损失

基于BNB链构建的去中心化金融项目新黄金协议(NGP)周三遭遇复杂攻击。黑客从项目流动性池中盗取价值近200万美元的资产后,通过Tornado Cash转移赃款,使得资金几乎无法追踪。

攻击手法解析

据Web3安全公司Blockaid分析,攻击者利用了NGP智能合约getPrice()函数的漏洞。该函数通过简单查询Uniswap V2池中的储备量来计算NGP代币价格。

Blockaid指出,依赖单一去中心化交易所(DEX)池获取价格数据存在风险。"单一DEX池的现货价格并不安全,因为攻击者可以通过闪电贷在单个原子交易中轻易操纵池储备量。"

攻击者首先发起闪电贷临时借入大量代币,随后通过交换操作操纵mainPair池,在增加USDT储备的同时耗尽NGP代币。这种手法导致getPrice()函数显示远低于实际价值的代币价格。

系统被欺骗后,攻击者绕过合约交易限制,以被操纵的低价购入大量NGP代币。

事件后续影响

盗取代币后,攻击者迅速将其兑换为以太坊,并通过与黑客攻击密切相关的混币器Tornado Cash转移资金。这使得资金流向几乎无法追踪,追回被盗资金可能性极低。

黑客攻击消息迅速传播,引发DeFi社区不安。NGP代币价格数小时内暴跌,投资者陷入恐慌。截至目前,NGP尚未公布任何追回资金或补偿受损用户的方案。

DeFi安全启示录

NGP事件再次证明,协议依赖单一价格源存在巨大风险。允许攻击者一次性借入大额资金的闪电贷款,仍是此类攻击的主要工具。

专家建议项目方应构建更安全的系统,包括采用多价格源数据、定期审计合约,以及加强合约保护机制。

此次200万美元的损失只是今年频发的DeFi攻击事件的最新案例。9月7日,Sui链上DeFi平台Nemo Protocol也因通过单签名升级将未经审计的代码推送到主网,导致260万美元被盗。黑客利用公开的闪电贷功能和错误查询铸造代币,耗尽了SY/PT池。

这些事件再次表明,在这个领域,安全性始终是建设者和投资者最薄弱的环节。

展开阅读全文
更多新闻