«Мгновенный займ» превратился в мгновенную кражу 2 миллионов долларов

Децентрализованный протокол New Gold Protocol (NGP), работающий в сети BNB Chain, стал жертвой атаки, в результате которой злоумышленники вывели около 2 миллионов долларов из пула ликвидности его нативного токена. Инцидент был связан с уязвимостью в механизме определения цены.

По данным Blockaid, злоумышленники использовали брешь в функции getPrice() смарт-контракта. Метод вычислял стоимость токена напрямую, опираясь на резервы пары Uniswap V2. Такой подход оказался крайне ненадёжным: получаемая «спотовая» цена могла быть искусственно искажена в рамках одной транзакции с помощью мгновенного займа (Flash Loan). В результате атакующий взял во временное пользование значительный объём активов, провернул крупный обмен и изменил баланс пула mainPair — доля USDT резко возросла, а запас NGP сократился. Это привело к тому, что функция вернула заниженную цену, что позволило обойти ограничение на размер операций и приобрести большое количество токенов по фиктивной стоимости.

По данным PeckShield, украденные активы были оперативно переведены в криптомиксер Tornado Cash. После атаки курс токена обвалился на 88% менее чем за час. Специалисты подчёркивают, что проблема носит системный характер: ориентирование на один источник ценовых данных делает протоколы уязвимыми к таким манипуляциям.

Данный случай вписывается в более широкий тренд роста атак на DeFi-платформы. Неделей ранее был вскрыт взлом Nemo Protocol, работающего на блокчейне Sui, где из-за не прошедших аудит изменений в коде преступники вывели 2,4 миллиона долларов. По оценкам Chainalysis, только в первой половине 2025 года хакеры похитили из криптосервисов свыше 2 миллиардов долларов — это уже превысило показатели за аналогичный период предыдущих лет. Масштабы цифровых краж продолжают расти, а смарт-контракты остаются одной из наиболее уязвимых точек в инфраструктуре децентрализованных финансов.