上周三,加密货币社群再次受到震动,BNB 链上的 DeFi 协议 New Gold Protocol (NGP)挖矿智能合约漏洞,导致原生代币的流动性提取约 200 万镁。
据 Web3 安全公司 Blockaid 称,攻击者利用了价格预言机中的一个漏洞。具体来说,NGP 智能合约中的 getPrice() 函数直接从Uniswap V2 上的交易对对储备中检索数据。这使得攻击者能够通过闪电贷在单笔交易中操纵价格。
Blockaid 解释道:只需足够大的闪电贷,黑客就可以代币置换,从而膨胀 USDT 储备并耗尽 NGP 储备,导致系统大幅报价。这样一来,攻击者就可以轻松超越交易限制机制,以异常低的价格收取大量代币。
黑客提取资产后,迅速将资金转移到 Tornado Cash——一个用于隐藏交易痕迹的热门混合器平台。据 PeckShield 的报告,这导致 NGP代币的价值在短短几个小时内暴跌 88%。
这并不是最近发生的唯一一起事件。一周前, Sui上的收益交易平台 Nemo Protocol 也因其智能合约中存在未经彻底审计的漏洞而挖矿用 260 万镁。
这种情况反映出DeFi领域黑客攻击事件的急剧上涨。根据Chainalysis的数据,仅在2025年上半年,从加密货币服务中窃取的资金总额就超过20亿镁,远高于往年同期。
