Ngày thứ Tư vừa qua, cộng đồng tiền mã hóa lại rúng động khi New Gold Protocol (NGP) – một giao thức DeFi trên BNB Chain – bị khai thác lỗ hổng hợp đồng thông minh, khiến thanh khoản của token gốc bị rút cạn khoảng 2 triệu USD.
Theo công ty an ninh Web3 Blockaid, thủ phạm đã lợi dụng sự thiếu an toàn trong cơ chế định giá (price oracle). Cụ thể, hàm getPrice() trong smart contract của NGP lấy dữ liệu trực tiếp từ dự trữ của cặp giao dịch trên Uniswap V2. Điều này cho phép kẻ tấn công thao túng giá chỉ bằng một giao dịch đơn lẻ thông qua flash loan.
Blockaid giải thích: chỉ cần một lượng vay nhanh đủ lớn, hacker có thể hoán đổi token để thổi phồng dự trữ USDT và làm cạn kiệt dự trữ NGP, khiến hệ thống báo giá sai lệch nghiêm trọng. Nhờ đó, kẻ tấn công dễ dàng vượt qua cơ chế giới hạn giao dịch và gom một lượng lớn token với giá rẻ bất thường.
Sau khi rút được tài sản, hacker đã nhanh chóng chuyển số tiền này vào Tornado Cash – nền tảng mixer nổi tiếng dùng để che giấu dấu vết giao dịch. Hệ quả là giá trị của token NGP lao dốc tới 88% chỉ trong vài giờ, theo báo cáo từ PeckShield.
Đây không phải là vụ duy nhất gần đây. Trước đó một tuần, Nemo Protocol – nền tảng yield-trading trên Sui – cũng bị khai thác 2,6 triệu USD do các lỗi trong hợp đồng thông minh chưa được kiểm toán kỹ lưỡng.
Tình trạng này phản ánh xu hướng gia tăng mạnh mẽ các vụ hack trong lĩnh vực DeFi. Theo Chainalysis, chỉ trong nửa đầu năm 2025, tổng số tiền bị đánh cắp từ các dịch vụ tiền mã hóa đã vượt 2 tỷ USD, cao hơn nhiều so với cùng kỳ các năm trước.
