自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

NGP协议遭200万美元漏洞攻击,资金已转入Tornado Cash

2025-09-18 23:00:34
收藏

新黄金协议遭黑客攻击:闪电贷漏洞致200万美元损失

基于BNB链构建的去中心化金融项目新黄金协议(NGP)周三遭遇复杂攻击。黑客从项目流动性池中盗取价值近200万美元的资产后,通过Tornado Cash转移赃款,使得资金几乎无法追踪。

攻击手法解析

据Web3安全公司Blockaid分析,攻击者利用了NGP智能合约getPrice()函数的漏洞。该函数通过简单查询Uniswap V2池中的储备量来计算NGP代币价格。

Blockaid指出,依赖单一去中心化交易所(DEX)池获取价格数据存在风险。"单一DEX池的现货价格并不安全,因为攻击者可以通过闪电贷在单个原子交易中轻易操纵池储备量。"

攻击者首先发起闪电贷临时借入大量代币,随后通过交换操作操纵mainPair池,在增加USDT储备的同时耗尽NGP代币。这种手法导致getPrice()函数显示远低于实际价值的代币价格。

系统被欺骗后,攻击者绕过合约交易限制,以被操纵的低价购入大量NGP代币。

事件后续影响

盗取代币后,攻击者迅速将其兑换为以太坊,并通过与黑客攻击密切相关的混币器Tornado Cash转移资金。这使得资金流向几乎无法追踪,追回被盗资金可能性极低。

黑客攻击消息迅速传播,引发DeFi社区不安。NGP代币价格数小时内暴跌,投资者陷入恐慌。截至目前,NGP尚未公布任何追回资金或补偿受损用户的方案。

DeFi安全启示录

NGP事件再次证明,协议依赖单一价格源存在巨大风险。允许攻击者一次性借入大额资金的闪电贷款,仍是此类攻击的主要工具。

专家建议项目方应构建更安全的系统,包括采用多价格源数据、定期审计合约,以及加强合约保护机制。

此次200万美元的损失只是今年频发的DeFi攻击事件的最新案例。9月7日,Sui链上DeFi平台Nemo Protocol也因通过单签名升级将未经审计的代码推送到主网,导致260万美元被盗。黑客利用公开的闪电贷功能和错误查询铸造代币,耗尽了SY/PT池。

这些事件再次表明,在这个领域,安全性始终是建设者和投资者最薄弱的环节。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻