Het gedecentraliseerde finance-project New Gold Protocol (NGP) op de BNB Chain is het nieuwste slachtoffer geworden van een geraffineerde hack. Hierbij werden bijna 2 miljoen dollar aan activa uit de liquiditeitspool gestolen. De aanvaller gebruikte geavanceerde technieken om de gestolen fondsen via Tornado Cash te verplaatsen, waardoor het vrijwel onmogelijk is om het geld te traceren.
Hoe vond de exploit plaats?
Volgens Web3-beveiligingsbedrijf Blockaid maakte de aanvaller misbruik van een kwetsbaarheid in de smart contract-code van NGP, specifiek binnen de getPrice()-functie. Deze functie bepaalt de waarde van NGP-tokens door alleen te kijken naar de reserves in de Uniswap V2-pool. Het probleem is dat het protocol volledig afhankelijk was van één enkele gedecentraliseerde exchange (DEX) voor prijsinformatie.
Blockaid lichtte toe dat het gebruik van een enkele DEX-pool voor prijsbepaling riskant is. “Een spotprijs van één DEX-pool is onveilig, omdat een aanvaller de reserves binnen die pool gemakkelijk kan manipuleren met een flash loan in één enkele transactie,” aldus het beveiligingsbedrijf.
De aanval begon met het nemen van een flash loan, waarbij de hacker tijdelijk een grote hoeveelheid tokens leende. Vervolgens voerde hij een swap uit die de USDT-reserves in de hoofdliquiditeitspool verhoogde en tegelijkertijd NGP-tokens leegtrokte. Hierdoor gaf de getPrice()-functie een veel lagere tokenwaarde weer dan de werkelijke waarde.
Door deze misleiding kon de aanvaller de transactiebeperkingen van het contract omzeilen en een grote hoeveelheid NGP-tokens buy tegen een kunstmatig lage prijs.
Gevolgen van de hack
Na het leegtrekken van de tokens wisselde de aanvaller deze snel om naar Ethereum. Vervolgens werden de fondsen via Tornado Cash gestuurd, een Ethereum-mixer die vaak in verband wordt gebracht met het witwassen van gestolen cryptovaluta. Hierdoor raakte het spoor van het geld volledig kwijt, waardoor het terugvorderen van de gestolen middelen vrijwel onmogelijk is.
De hack zorgde voor onrust binnen de DeFi-gemeenschap. De waarde van de NGP-token kelderde binnen enkele uren, wat investeerders onzeker maakte. Tot op heden heeft NGP geen concreet herstelplan gepresenteerd of aangegeven hoe zij gebruikers zullen compenseren die door de aanval zijn getroffen.
Belangrijke lessen voor de DeFi-sector
De exploit bij NGP benadrukt opnieuw de risico’s van het vertrouwen op één enkele prijsbron. Flash loans blijven een krachtig wapen voor aanvallers, omdat ze in één transactie grote bedragen kunnen lenen en gebruiken om markten te manipuleren.
Beveiligingsexperts adviseren projecten om meerdere prijsfeeds te integreren, regelmatige audits uit te voeren en strengere beveiligingsmaatregelen in smart contracts te implementeren. Dit kan de kans op soortgelijke aanvallen aanzienlijk verkleinen.
Deze hack voegt zich bij een reeks grote DeFi-aanvallen in 2025. Zo werd eerder dit jaar het Nemo Protocol op Sui getroffen door een exploit van 2,6 miljoen dollar, veroorzaakt door niet-geaudit code die via een single-signature upgrade werd uitgerold. Ook daar maakten hackers gebruik van een publieke flash loan-functie om tokens te minten en fondsen te stelen.
Deze incidenten onderstrepen dat beveiliging in de DeFi-wereld nog altijd een kwetsbaar punt is, zowel voor ontwikkelaars als voor investeerders. Het blijft cruciaal om waakzaam te zijn en continu te investeren in robuuste beveiligingsoplossingen.
