Bitcoin 
Ethereum 
Tether 
BNB 
XRP 
USDC 
Solana 
TRON 
Lido Staked Ether 
Dogecoin 
Figure Heloc 
Cardano 
Bitcoin Cash 
WhiteBIT Coin 
Wrapped stETH 
USDS 
Wrapped Bitcoin 
Binance Bridged USDT (BNB Smart Chain) 
Wrapped Beacon ETH 
Tìm kiếm
Nền tảng DeFi New Gold Protocol (NGP) đã trở thành nạn nhân của một vụ tấn công vào ngày thứ Tư, khiến dự án thiệt hại khoảng 2 triệu USD. Theo công ty an ninh onchain Blockaid, hacker đã khai thác lỗ hổng trong cơ chế price oracle của hợp đồng thông minh NGP.
Cách thức tấn công
-
Oracle của NGP sử dụng hàm
getPrice()để xác định giá token, trong đó tham chiếu trực tiếp đến dự trữ trong cặp giao dịch Uniswap V2. -
Hacker đã thực hiện flash loan với số lượng token lớn, sau đó hoán đổi để làm thay đổi mạnh mẽ tỷ lệ dự trữ trong pool:
-
Dự trữ USDT tăng vọt.
-
Dự trữ NGP giảm mạnh.
-
-
Kết quả:
getPrice()báo cáo giá NGP ở mức cực thấp. Điều này cho phép hacker bỏ qua giới hạn giao dịch của hợp đồng và mua được lượng lớn token NGP với giá rẻ.
Blockaid nhận định: “Việc sử dụng giá spot từ một pool DEX duy nhất là cực kỳ nguy hiểm, vì hacker có thể thao túng dự trữ trong một giao dịch atomic bằng flash loan.”
Hậu quả
-
Hacker đã rút được khoảng 2 triệu USD từ pool thanh khoản NGP.
-
Công ty an ninh PeckShield phát hiện số tiền bị đánh cắp đã được rửa qua Tornado Cash.
-
Giá token NGP sau đó lao dốc 88%, gần như xóa sổ thanh khoản của dự án.
Bối cảnh
-
Đây là vụ việc mới nhất trong chuỗi các cuộc tấn công vào DeFi. Chỉ tuần trước, giao thức Nemo Protocol trên hệ Sui cũng bị hack 2,6 triệu USD do lỗi trong hợp đồng thông minh chưa được audit kỹ lưỡng.
-
Theo Chainalysis, chỉ trong nửa đầu năm 2025, hacker đã đánh cắp hơn 2 tỷ USD từ các dịch vụ crypto, vượt mức thiệt hại cùng kỳ các năm trước.
👉 Vụ việc nhấn mạnh rủi ro bảo mật từ các oracle đơn điểm (single-source oracle) và sự cần thiết của audit chặt chẽ trước khi triển khai hợp đồng thông minh.
🚨 Community Alert:
Blockaid’s exploit detection system identified multiple malicious transactions targeting the NGP token on BSC.
Roughly $2M has been drained.↓ We’re monitoring in real time and will share updates below pic.twitter.com/efxXma0REQ
— Blockaid (@blockaid_) September 17, 2025
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
-
X (Twitter):
@coinphoton_vi
-
Discord:
@coinphoton_vn
