New Gold Protocol (NGP), een DeFi-project op de BNB Chain, werd woensdag het slachtoffer van een slimme hack. Hierbij werden bijna 2 miljoen dollar aan middelen uit de liquiditeitspool gestolen. De aanvaller gebruikte Tornado Cash om het geld onvindbaar te maken.
Hoe gebeurde de hack?
Volgens beveiligingsbedrijf Blockaid maakte de hacker misbruik van een kwetsbaarheid in NGP’s smart contract. De fout zat in de getPrice()-functie, die de prijs van NGP-tokens bepaalt. Deze functie keek alleen naar de reserves in één Uniswap V2-pool.
Blockaid legt uit dat het gevaar zit in het gebruik van één enkele prijsbron. Een aanvaller kan zo de prijs makkelijk manipuleren met een flashloan. Dit is een lening die je binnen één transactie afsluit en terugbetaalt.
De hacker leende tijdelijk veel tokens via een flashloan. Daarna manipuleerde hij de Uniswap-pool door USDT-reserves te verhogen en NGP-tokens te verlagen. Hierdoor gaf getPrice() een veel te lage tokenwaarde weer.
Ontvang €20 gratis Bitcoin bij Finst
Finst is het snelst groeiende crypto platform van Nederland. Handel veilig en transparant met de laagste kosten van slechts 0,15%.
➤ Claim €20 gratis Bitcoin*Alleen voor nieuwe gebruikers – Actie geldt tijdelijk
Door deze misleiding kon de aanvaller grote hoeveelheden NGP-tokens goedkoop kopen. Zo werd het contract om de tuin geleid en ontstond er een enorme winst.
Gevolgen van de hack
Na het leegtrekken van de tokens wisselde de hacker ze snel om voor Ethereum. Vervolgens werd het geld via Tornado Cash gestuurd. Dit is een mixer die transacties ontraceerbaar maakt.
De sporen van het gestolen geld zijn daardoor vrijwel verdwenen. Terughalen van de fondsen lijkt onmogelijk. Dit zet de DeFi-gemeenschap flink onder druk.
De prijs van NGP stortte binnen enkele uren in. Investeerders raakten ongerust en onzeker. Tot nu toe is er geen plan van NGP om de schade te herstellen of gebruikers te compenseren.
Start vandaag met handelen op Bitvavo
Bitvavo is het populairste crypto platform van Nederland. Koop eenvoudig Bitcoin, Ethereum en meer dan 200 andere munten. Laagste handelskosten en iDEAL-ondersteuning.
➤ Open gratis je Bitvavo accountBelangrijke lessen voor DeFi
De hack toont opnieuw hoe riskant het is om te vertrouwen op één prijsbron. Flashloans blijven een krachtig wapen voor aanvallers. Ze lenen grote bedragen en manipuleren zo snel de markt.
Experts adviseren om meerdere prijsfeeds te gebruiken. Ook regelmatige audits en strengere beveiliging van smart contracts zijn cruciaal. Zo kunnen projecten zich beter beschermen tegen dit soort aanvallen.
De 2 miljoen dollar verlies is weer een nieuwe klap voor DeFi dit jaar. Eerder leed Nemo Protocol op Sui een hack van 2,6 miljoen dollar door ongeteste code. Ook daar werd een flashloan gebruikt om tokens te minten en fondsen te stelen.
Dit bevestigt dat veiligheid nog steeds het grootste probleem is in de DeFi-wereld. Zowel ontwikkelaars als investeerders moeten hier alert op blijven. Veiligheid is de sleutel tot vertrouwen en groei in deze sector.
