آغازی فاجعه‌بار برای پروتکل نیو گلد

پروتکل نیو گلد (The New Gold Protocol)، که خود را «DeFi 3.0» و با «پایداری در هسته اصلی خود» توصیف می‌کرد، ساعاتی پس از راه‌اندازی در ۱۸ سپتامبر ۲۰۲۵، هدف یک حمله سایبری قرار گرفت. این رخداد تلخ، یک آغاز فاجعه‌بار را برای پروتکلی رقم زد که وعده‌های بزرگی برای متحول کردن بخش دیفای (DeFi) داشت و بر بستر بلاکچین BNB فعالیت می‌کرد. حمله نشان داد که چگونه غفلت در طراحی امنیتی یک پروتکل می‌تواند سرنوشت یک پروژه را از همان روز اول به نابودی بکشاند و تمام جاه‌طلبی‌های آن را نقش بر آب کند.

وعده‌های بلندپروازانه و بنیان‌های متزلزل

پروتکل نیو گلد به‌عنوان یک پروتکل استیکینگ نسل جدید «DeFi 3.0» با هدف رفع کاستی‌های موجود در بازار کریپتوکارنسی و ارائه راهکارهای نوین پا به میدان گذاشت. این تیم به دنبال حل مشکل «فقدان قوانین قیمت‌گذاری» بود، مشکلی که به گفته وایت‌پیپرشان، بسیاری از پروتکل‌های دیفای را به دلیل «فقدان مکانیسم‌های استاندارد برای قیمت‌گذاری رفتار» با بی‌ثباتی و هرج‌ومرج مواجه می‌سازد. نیو گلد با استفاده از بهینه‌سازی مبتنی بر هوش مصنوعی، وعده شفافیت، انصاف و پایداری را می‌داد و خود را به‌عنوان یک پلتفرم استیکینگ مقیاس‌پذیر، شفاف و زمان‌محور معرفی می‌کرد که قرار بود استانداردهای جدیدی را برای پروتکل‌های استیکینگ تعریف کند. هدف این پروتکل، ارائه پلتفرمی با محیط شفاف و خودکار بود که از طریق قراردادهای هوشمند (Smart Contracts) مدیریت می‌شد.

توکن بومی NGP به دلیل مکانیسم توکن‌سوزی، به‌عنوان یک دارایی کاهش‌دهنده تورم (Deflationary) معرفی شد و به جای مشوق‌های تورمی و سوداگرانه، وعده توزیع سود واقعی (Real-Yield) را به کاربران می‌داد. وایت‌پیپر پروتکل NGP بر این باور بود که شفافیت، پاسخگویی را تضمین می‌کند. با این حال، همانطور که حملات زنجیره بلوکی متعدد نشان داده‌اند، شفافیت به تنهایی برای تضمین امنیت کافی نیست و بی‌توجهی به جزئیات فنی می‌تواند حفره‌های امنیتی جبران‌ناپذیری را ایجاد کند.

کالبدشکافی حمله: سوءاستفاده از نقاط ضعف طراحی

حمله به پروتکل نیو گلد بلافاصله پس از راه‌اندازی توکن NGP صورت گرفت. اگرچه محدودیت‌هایی برای خرید توکن NGP برای جلوگیری از حملات تورم قیمتی تعیین شده بود، اما هکر راهی برای دور زدن این محدودیت‌ها پیدا کرد. طبق تحلیل‌های شرکت امنیت بلاکچین Hacken، تنها شش ساعت قبل از حمله، هکر با استفاده از چندین حساب کاربری، مقادیر زیادی از دارایی‌ها را از طریق وام‌های لحظه‌ای (Flash Loans) انباشته کرده بود. وام‌های لحظه‌ای قابلیتی رایج در پلتفرم‌های دیفای هستند که امکان قرض گرفتن سریع دارایی‌های رمزنگاری شده را بدون نیاز به وثیقه فراهم می‌کنند. این وام‌ها می‌توانند برای آربیتراژ، سرقت وجوه از پروتکل‌ها یا دستکاری قیمت استفاده شوند.

هکر از تاکتیک «دستکاری اوراکل» (Oracle Manipulation) بهره برد. پروتکل نیو گلد، قیمت توکن NGP را با بررسی ذخایر خود در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین می‌کرد، که این امر به مهاجم اجازه داد تا قیمت را دستکاری کند. هکر با شروع مبادله BUSD به NGP در PancakePair، به سرعت قیمت NGP را پمپ (افزایش) داد. پروتکل نیو گلد دو محدودیت داشت: سقف خرید و سقف زمان انتظار (Cooldown Limit) برای خریداران. مهاجم با استفاده از آدرس خاصی به نام “dEaD” به‌عنوان گیرنده، هر دو محدودیت را دور زد. گام بعدی، تخلیه تقریباً تمام توکن‌های BUSD از پروتکل از طریق فروش NGP بود، که پروتکل نیو گلد را تقریباً بدون وجوه باقی گذاشت. مهاجم در نهایت ۱.۹ میلیون دلار رمز ارز به دست آورد و بلافاصله وجوه را به اتریوم مبتنی بر BNB تبدیل کرد. بر اساس گزارش تیم Hacken، اقدامات بعدی شامل واریز وجوه سرقت شده به Tornado Cash از طریق اتریوم که با Across بریج شده بود، صورت گرفت. این اقدام در حالی که پروتکل تنها با مقدار کمی وجه باقی مانده بود، قیمت NGP را به شدت بالا برد، اما به سرعت قیمت توکن NGP با سقوطی ۸۸ درصدی مواجه شد.

پیامدهای فاجعه‌بار و ضرورت هوشیاری در امنیت سایبری

متأسفانه، علی‌رغم برنامه‌های بلندپروازانه برای بازسازی بخش دیفای و ساخت یک محصول پایدار، پروتکل نیو گلد امنیت خود را نادیده گرفت و با خسارت جدی مواجه شد. شرکت هیچ اظهار نظری در مورد این موضوع نکرد. آخرین توییت منتشر شده چند ساعت قبل از حمله با عنوان «پایداری با رشد روبرو می‌شود» اکنون شبیه یک شوخی تلخ به نظر می‌رسد. به محض معرفی وام‌های لحظه‌ای، حملات وام لحظه‌ای به سرعت به یکی از تاکتیک‌های مورد استفاده مجرمان تبدیل شدند.

بزرگترین حمله وام لحظه‌ای در مارس ۲۰۲۳ اتفاق افتاد که هکر موفق شد حدود ۱۹۷ میلیون دلار Wrapped Bitcoin، Wrapped Ethereum و سایر دارایی‌ها را از پروتکل Euler Finance سرقت کند. این هکر از یک خطا در نرخ محاسبه پلتفرم استفاده کرده بود و وجوه به آدرسی ارسال شد که قبلاً توسط گروه بدنام Lazarus Group، هکرهای کره شمالی، استفاده شده بود. آنچه این پرونده را به ویژه قابل توجه ساخت، این بود که هکر داوطلبانه تمام وجوه را بازگرداند و عذرخواهی کرد. نمونه‌های قابل توجه دیگر شامل هک کریم فایننس (Cream Finance) با ۱۳۰ میلیون دلار سرقت در سال ۲۰۲۱ و پولتر (Polter) با ۱۲ میلیون دلار سرقت در سال ۲۰۲۴ است. در سال ۲۰۲۵ نیز، یک وام لحظه‌ای بخشی از طرحی بود که ۲۲۳ میلیون دلار رمز ارز را از پروتکل Cetus مبتنی بر Sui به سرقت برد.

این موارد به‌وضوح نشان می‌دهند که در اکوسیستم وب۳ (Web3) و به خصوص در حوزه دیفای، اهمیت امنیت سایبری بر هیچ‌کس پوشیده نیست. توسعه‌دهندگان پروتکل‌ها باید همواره نسبت به بررسی دقیق قراردادهای هوشمند، انجام ممیزی‌های امنیتی جامع و در نظر گرفتن تمامی سناریوهای حمله احتمالی، از جمله دستکاری اوراکل‌ها و حملات وام لحظه‌ای، هوشیار باشند. شفافیت به‌تنهایی کافی نیست و باید با اقدامات امنیتی قوی و طراحی پروتکل مقاوم در برابر حملات ترکیب شود تا از پایداری و اعتماد کاربران محافظت شود.

وعده‌های بزرگ پروتکل دیفای نسل سوم

در دنیای پر سرعت و رقابتی مالی غیرمتمرکز (DeFi)، پروتکل‌های جدید همواره با وعده‌های بلندپروازانه و نوآورانه ظهور می‌کنند. پروتکل New Gold (NGP) که خود را به عنوان "دیفای ۳.۰" و با تمرکز بر "پایداری" معرفی می‌کرد، یکی از این پروژه‌ها بود که با برنامه‌های جاه‌طلبانه و مبتنی بر هوش مصنوعی پا به عرصه گذاشت. این پروتکل استیکینگ که بر بستر بلاکچین BNB ساخته شده بود، تنها چند ساعت پس از راه‌اندازی در ۱۸ سپتامبر ۲۰۲۵، با یک حمله سایبری بزرگ روبرو شد. این حادثه تلخ، نمونه‌ای بارز از این است که چگونه غفلت در طراحی پروتکل، می‌تواند یک پروژه را از همان روز اول به نابودی بکشاند و تمام وعده‌های بزرگ را زیر سوال ببرد.

نگاهی به جاه‌طلبی‌های پروتکل نسل جدید

پروتکل New Gold با هدف حل یکی از چالش‌های اساسی در فضای دیفای، یعنی "فقدان قوانین قیمت‌گذاری" طراحی شده بود. طبق وایت‌پیپر NGP، بسیاری از پروتکل‌های دیفای فاقد مکانیسم‌های استاندارد برای قیمت‌گذاری رفتار هستند که این امر منجر به نوسانات و بی‌نظمی در بازار می‌شود. NGP به عنوان "دیفای ۳.۰ نسل بعدی" قصد داشت از رقبایی که فاقد درآمد ذاتی و مدل‌های حکمرانی ناکارآمد هستند، پیشی بگیرد. تیم NGP معتقد بود که می‌توان شفافیت، انصاف و پایداری را از طریق بهینه‌سازی مبتنی بر هوش مصنوعی به دست آورد. این پروتکل استیکینگ مقیاس‌پذیر، شفاف و زمان‌محور، خود را معیاری جدید برای پروتکل‌های استیکینگ معرفی می‌کرد.

NGP برای ایجاد یک پلتفرم استیکینگ جامع با محیطی شفاف و خودکار تلاش می‌کرد که از طریق قراردادهای هوشمند پشتیبانی می‌شد. با تکیه بر سوزاندن توکن‌ها، NGP توکن بومی خود را به عنوان یک دارایی کاهش تورم (deflationary) تبلیغ می‌کرد و وعده توزیع سود واقعی را به جای مشوق‌های تورمی و سوداگرانه می‌داد. وایت‌پیپر NGP بیان می‌کرد که شفافیت، پاسخگویی را تضمین می‌کند و از این رو به عنوان یک اصل اساسی در طراحی پروتکل مورد تأکید قرار گرفته بود. این وعده‌ها، انتظارات زیادی را در میان جامعه کریپتو ایجاد کرده بود و بسیاری را به آینده این پروژه امیدوار کرده بود.

شفافیت کافی نبود: آسیب‌پذیری‌ها در اوج وعده‌ها

با وجود تأکید فراوان NGP بر شفافیت به عنوان تضمین‌کننده پاسخگویی، واقعیت به گونه‌ای دیگر رقم خورد. حمله سایبری تنها مدت کوتاهی پس از راه‌اندازی توکن NGP اتفاق افتاد. برای جلوگیری از حملات تورم قیمت، مقدار توکن‌های NGP که می‌توانست خریداری شود، محدود شده بود، اما هکر راهی برای دور زدن این محدودیت پیدا کرد. طبق تحلیل‌های شرکت امنیت بلاکچین Hacken، تنها شش ساعت قبل از حمله، هکر تعداد زیادی از دارایی‌ها را از طریق وام‌های لحظه‌ای (flash loans) با استفاده از حساب‌های مختلف جمع‌آوری کرده بود. وام‌های لحظه‌ای یکی از ویژگی‌های محبوب در پلتفرم‌های دیفای هستند که به کاربران امکان می‌دهند دارایی‌های کریپتویی را بدون وثیقه و به سرعت قرض بگیرند.

این وجوه قرض گرفته شده می‌توانند برای معاملات آربیتراژ، سرقت از یک پروتکل یا دستکاری قیمت مورد استفاده قرار گیرند و همانطور که Hacken اشاره می‌کند، خسارت ناشی از حملات وام لحظه‌ای می‌تواند به میلیون‌ها دلار برسد. در مورد NGP، مهاجم از تاکتیک دستکاری اوراکل (oracle manipulation) استفاده کرد. پروتکل NGP قیمت توکن خود را با اسکن ذخایر آن در استخر نقدینگی DEX تعیین می‌کرد، که این امر به مهاجم امکان دستکاری قیمت را می‌داد. مهاجم با مبادله BUSD به NGP در PancakePair، به سرعت قیمت NGP را پامپ کرد. پروتکل New Gold دارای دو محدودیت بود: محدودیت خرید و محدودیت زمان انتظار (cooldown) برای خریداران. هر دو این محدودیت‌ها توسط مهاجم دور زده شدند، زیرا او از آدرس "dEaD" به عنوان گیرنده استفاده کرد.

درس‌هایی از یک سقوط زودهنگام در دیفای

پس از دستکاری قیمت و دور زدن محدودیت‌ها، گام بعدی هکر، تخلیه تقریباً تمام توکن‌های BUSD از پروتکل از طریق فروش NGP بود. این اقدام، پروتکل New Gold را تقریباً بدون سرمایه رها کرد. مهاجم سپس ۱.۹ میلیون دلار ارز دیجیتال به دست آورد و بلافاصله وجوه را به اتریوم مبتنی بر BNB تبدیل کرد. طبق گفته تیم Hacken، اقدامات بعدی شامل واریز وجوه سرقت شده به Tornado Cash از طریق اتریوم متصل شده با Across بود. این حمله باعث شد قیمت NGP ابتدا افزایش یافته و سپس به سرعت سقوط ۸۸ درصدی را تجربه کند، در حالی که پروتکل تنها با مقدار کمی سرمایه باقی ماند.

متاسفانه، پروتکل New Gold علی‌رغم برنامه‌های جاه‌طلبانه برای تغییر شکل بخش دیفای و ساخت یک محصول پایدار، امنیت خود را نادیده گرفت و با آسیب جدی مواجه شد. شرکت در مورد این مسئله اظهار نظری نکرد و آخرین توییت آن که "پایداری با رشد روبرو می‌شود" چند ساعت قبل از حمله منتشر شده بود، اکنون مانند یک شوخی تلخ به نظر می‌رسد. این حادثه، بار دیگر نشان داد که در فضای وب۳، صرفاً وعده‌های بزرگ و نوآوری‌های نظری کافی نیستند. امنیت پروتکل‌های بلاکچین، به ویژه در اکوسیستم دیفای که حجم عظیمی از سرمایه در آن در گردش است، از اهمیت حیاتی برخوردار است. نیاز به ممیزی‌های امنیتی دقیق، تست‌های نفوذ گسترده و توجه مداوم به آسیب‌پذیری‌های احتمالی، درس بزرگی است که از تجربه New Gold Protocol می‌توان گرفت تا از تکرار فاجعه‌های مشابه جلوگیری شود.

شرح حمله: وام آنی و دستکاری اوراکل قیمت

پروتکل New Gold (NGP) به عنوان یک پروتکل استیکینگ "DeFi 3.0" و مبتنی بر هوش مصنوعی، با شعار پایداری و عدالت در هسته خود، بر روی بلاکچین BNB راه‌اندازی شد. اهداف بلندپروازانه این پروژه شامل حل مشکل "فقدان قوانین قیمت‌گذاری" در بسیاری از پروتکل‌های دیفای و ایجاد یک پلتفرم استیکینگ شفاف با محیطی خودکار و پایدار از طریق قراردادهای هوشمند بود. NGP توکن بومی خود را غیرتورمی معرفی کرده و وعده توزیع بازده واقعی را به جای مشوق‌های تورمی و سوداگرانه می‌داد. اما، تنها ساعاتی پس از راه‌اندازی در تاریخ ۱۸ سپتامبر ۲۰۲۵، این پروژه با هک بزرگی مواجه شد که نشان داد جاه‌طلبی‌های بزرگ بدون توجه کافی به امنیت می‌تواند به فاجعه منجر شود.

ماهیت آسیب‌پذیری و جاه‌طلبی‌های نافرجام پروتکل New Gold

پروتکل New Gold با وجود تاکید بر شفافیت و پایداری در وایت‌پیپر خود، قربانی دو نقص اساسی در طراحی شد که هکر از آن‌ها بهره‌برداری کرد. این غفلت در طراحی پروتکل نشان داد که صرفاً تکیه بر شفافیت کافی نیست و مسئولیت‌پذیری واقعی نیازمند پیاده‌سازی مکانیزم‌های امنیتی مستحکم است. تیم NGP به دنبال دستیابی به شفافیت، انصاف و پایداری از طریق بهینه‌سازی هوش مصنوعی بود و مدعی بود که معیار جدیدی را برای پروتکل‌های استیکینگ تعریف می‌کند. با این حال، حمله سایبری ساعاتی پس از عرضه توکن NGP، تمام این ادعاها را زیر سوال برد و پایداری آن را از همان روز اول به مخاطره انداخت.

اگرچه میزان توکن‌های NGP قابل خرید برای جلوگیری از حملات تورم قیمت محدود شده بود، اما هکر راهی برای دور زدن این محدودیت پیدا کرد. این اتفاق به وضوح نشان داد که یک پروتکل با وعده‌های "دیفای نسل بعدی" و "پایداری در هسته" می‌تواند به دلیل ضعف‌های بنیادی در معماری امنیتی، به سرعت دچار سقوط شود و اعتماد جامعه کریپتو را از دست بدهد.

مکانیسم حمله: وام‌های آنی و دستکاری قیمت اوراکل

بر اساس تحلیل‌های شرکت امنیت بلاکچین Hacken، هکر شش ساعت قبل از حمله، حجم بالایی از دارایی‌ها را از طریق وام‌های آنی (Flash Loans) و با استفاده از حساب‌های مختلف جمع‌آوری کرده بود. وام‌های آنی، ویژگی محبوبی در پلتفرم‌های دیفای هستند که امکان قرض گرفتن سریع دارایی‌های کریپتو را بدون نیاز به وثیقه فراهم می‌کنند؛ مشروط بر اینکه وام در همان تراکنش بازپرداخت شود. این قابلیت می‌تواند برای آربیتراژ، سرقت وجوه از یک پروتکل، یا دستکاری قیمت مورد استفاده قرار گیرد، و آسیب‌های ناشی از آن می‌تواند به میلیون‌ها دلار برسد.

مکانیسم اصلی این حمله، تاکتیک دستکاری اوراکل (Oracle Manipulation) بود. پروتکل NGP قیمت توکن خود را با اسکن ذخایر آن در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین می‌کرد. این روش، آسیب‌پذیری بزرگی ایجاد کرد که به هکر اجازه داد تا قیمت توکن را دستکاری کند. مراحل حمله به شرح زیر بود:

1. هکر با مبادله BUSD به NGP در PancakePair، به سرعت قیمت NGP را پامپ (افزایش مصنوعی) کرد.
2. پروتکل New Gold دارای دو محدودیت بود: سقف خرید و سقف زمان انتظار (cooldown limit) برای خریداران. هکر با استفاده از آدرس "dEaD" به عنوان گیرنده، هر دو محدودیت را دور زد و توانست توکن‌های NGP را با قیمت دستکاری‌شده و بالاتری خریداری کند.
3. اقدام بعدی، فروش توکن‌های NGP بود که منجر به تخلیه تقریباً تمام توکن‌های BUSD از پروتکل شد و New Gold را با حداقل وجوه باقی گذاشت.
4. هکر در این فرآیند ۱.۹ میلیون دلار کریپتو به دست آورد و بلافاصله این وجوه را به ETH مبتنی بر BNB تبدیل کرد.
5. طبق گزارش تیم Hacken، وجوه دزدیده‌شده سپس از طریق اتریوم پل‌شده با Across به Tornado Cash واریز شدند تا ردیابی آن‌ها دشوارتر شود.

این حمله باعث شد قیمت توکن NGP ابتدا به صورت مصنوعی بالا رود و سپس به دنبال تخلیه پروتکل، ۸۸ درصد سقوط کند، و عملاً پروژه را از هستی ساقط کرد.

درس‌های آموخته شده: اهمیت امنیت در اکوسیستم دیفای

حمله به پروتکل New Gold نمونه‌ای بارز از خطراتی است که غفلت در طراحی امنیتی می‌تواند برای پروژه‌های دیفای به همراه داشته باشد. از زمان معرفی وام‌های آنی، حملات مبتنی بر این قابلیت به سرعت به یکی از تاکتیک‌های رایج مجرمان در فضای کریپتو تبدیل شده‌اند. نمونه‌های دیگری از این حملات شامل سرقت ۱۹۷ میلیون دلار از پروتکل Euler Finance در مارس ۲۰۲۳، ۱۳۰ میلیون دلار از Cream Finance در ۲۰۲۱ و ۱۲ میلیون دلار از Polter در ۲۰۲۴ است. همچنین، وام آنی بخشی از طرح سرقت ۲۲۳ میلیون دلاری از پروتکل Cetus در سال ۲۰۲۵ بود. این وقایع نشان‌دهنده فراگیری و پتانسیل مخرب این نوع حملات هستند.

شکست پروتکل New Gold با وجود برنامه‌های بلندپروازانه برای تغییر بخش دیفای و ساخت محصولی پایدار، اهمیت حیاتی حسابرسی‌های امنیتی دقیق، بازبینی کد و طراحی پروتکل با رویکرد "امنیت اول" را برجسته می‌کند. شفافیت در بلاکچین تنها بخشی از معادله است؛ مسئولیت‌پذیری واقعی در گرو پیاده‌سازی مکانیزم‌های امنیتی قوی برای محافظت در برابر آسیب‌پذیری‌ها است. پروژه‌های کریپتو و وب ۳ باید در اولویت‌بندی امنیت بر سرعت راه‌اندازی یا افزودن ویژگی‌های جذاب، دقت بیشتری به خرج دهند. کاربران نیز باید هنگام تعامل با پروتکل‌های دیفای، به خصوص آن‌هایی که تازه راه‌اندازی شده‌اند، احتیاط فراوان کرده و از اعتبار و امنیت تیم توسعه‌دهنده و پروتکل اطمینان حاصل کنند. این حملات نشان می‌دهند که در اکوسیستم دیفای، هیچ پروتکلی، هر چقدر هم که ایده‌های بزرگی داشته باشد، در برابر آسیب‌پذیری‌های امنیتی مصون نیست.

پیامدهای هک: سقوط قیمت و تخلیه نقدینگی

پروژه‌های حوزه دیفای (امور مالی غیرمتمرکز) با وجود نوآوری‌ها و وعده‌های بزرگی که برای شفافیت، پایداری و بازده واقعی می‌دهند، همواره با چالش‌های امنیتی جدی مواجه بوده‌اند. یکی از تلخ‌ترین نمونه‌های این چالش‌ها، هک پروتکل سهام‌گذاری The New Gold Protocol (NGP) بود که تنها چند ساعت پس از راه‌اندازی در ۱۸ سپتامبر ۲۰۲۵، مورد حمله قرار گرفت. این رویداد به‌وضوح نشان داد که بی‌توجهی به طراحی امنیتی پروتکل می‌تواند یک پروژه را از همان روز اول به نابودی بکشاند. NGP که با هدف حل "کمبود قوانین قیمت‌گذاری" و از طریق بهینه‌سازی هوش مصنوعی به دنبال شفافیت، انصاف و پایداری بود، قربانی دو نقص اساسی در طراحی خود شد که منجر به پیامدهای فاجعه‌بار سقوط قیمت توکن و تخلیه نقدینگی آن شد.

آناتومی حمله: وام‌های سریع و دستکاری اوراکل

حمله به پروتکل NGP نمونه بارزی از سوءاستفاده از مکانیزم‌های وام سریع (Flash Loan) و دستکاری اوراکل (Oracle Manipulation) است که به سرعت به ابزارهایی رایج برای مجرمان سایبری در فضای بلاکچین تبدیل شده‌اند. وام‌های سریع قابلیتی در پلتفرم‌های دیفای هستند که به کاربران اجازه می‌دهند مقادیر زیادی از دارایی‌های رمزنگاری شده را بدون وثیقه و در یک تراکنش واحد قرض بگیرند. این ویژگی، در حالی که برای مبادلات آربیتراژ یا بازپرداخت وام‌های دیگر طراحی شده، می‌تواند برای حملات مخرب، از جمله سرقت از پروتکل‌ها یا دستکاری قیمت‌ها، مورد سوءاستفاده قرار گیرد. شرکت امنیت بلاکچین Hacken، آسیب‌های ناشی از حملات وام سریع را میلیون‌ها دلار تخمین می‌زند.

بر اساس تحلیل‌گران شرکت امنیت بلاکچین هکن (Hacken)، هکر شش ساعت قبل از حمله به NGP، با استفاده از حساب‌های مختلف، حجم بالایی از دارایی‌ها را از طریق وام‌های سریع جمع‌آوری کرد. سپس، مهاجم از تاکتیک دستکاری اوراکل استفاده کرد. پروتکل NGP قیمت توکن خود را با اسکن ذخایر آن در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین می‌کرد. این مکانیزم به مهاجم اجازه داد تا با معامله BUSD به NGP در PancakePair، قیمت توکن NGP را به سرعت پامپ کند. این حرکت اولیه به نظر می‌رسد قیمت توکن NGP را موقتاً بالا برد، اما هدف اصلی مهاجم چیز دیگری بود: تخلیه نقدینگی پروتکل و کسب سود شخصی.

تخلیه نقدینگی و دور زدن مکانیزم‌های دفاعی

پروتکل The New Gold Protocol برای جلوگیری از حملات تورمی قیمت، دو محدودیت کلیدی اعمال کرده بود: یک سقف خرید و یک سقف زمانی (cooldown limit) برای خریداران. با این حال، هکر با استفاده از یک ترفند هوشمندانه، یعنی تعیین آدرس "dEaD" (آدرس سوخته یا غیرقابل استفاده) به‌عنوان گیرنده تراکنش‌ها، هر دو این محدودیت‌ها را دور زد. این اقدام حیله‌گرانه به مهاجم اجازه داد تا مکانیزم‌های دفاعی پروتکل را نادیده بگیرد. حرکت بعدی و تعیین‌کننده مهاجم، تخلیه تقریباً تمام توکن‌های BUSD از پروتکل بود که با فروش توکن‌های NGP انجام شد. این عمل به سادگی پروتکل The New Gold Protocol را با تقریباً هیچ سرمایه‌ای مواجه ساخت و نقدینگی آن را به طور کامل از بین برد.

پس از این مراحل، مهاجم توانست دارایی‌هایی به ارزش ۱.۹ میلیون دلار به دست آورد. این دارایی‌ها بلافاصله به ETH مبتنی بر زنجیره BNB تبدیل شدند. تیم هکن گزارش داد که مهاجم در ادامه، وجوه سرقت شده را از طریق اتریوم بریج شده با Across به Tornado Cash واریز کرد. Tornado Cash یک سرویس میکس‌کننده رمزارز است که برای افزایش ناشناس بودن تراکنش‌ها استفاده می‌شود و ردیابی وجوه سرقت‌شده را دشوارتر می‌کند. این زنجیره از اقدامات پیچیده و طراحی‌شده، ماهیت برنامه‌ریزی‌شده حمله را برجسته می‌کند و نیاز به مکانیزم‌های امنیتی لایه‌ای در پروتکل‌های وب۳ را آشکار می‌سازد.

سقوط ۸۸ درصدی قیمت و از دست رفتن اعتماد جامعه

پیامد مستقیم و فوری این حمله برای The New Gold Protocol فاجعه‌بار بود. در حالی که اقدامات اولیه مهاجم برای دستکاری اوراکل، قیمت NGP را به طور موقت بالا برده بود، اما با تخلیه نقدینگی پروتکل و از بین رفتن پشتوانه ارزشی، توکن NGP به سرعت سقوط کرد. قیمت توکن NGP بلافاصله ۸۸ درصد کاهش یافت. این سقوط شدید قیمت نشان‌دهنده از دست رفتن کامل اعتماد جامعه و سرمایه‌گذاران به پروژه بود. پروتکلی که با وعده پایداری و شفافیت و با ادعای "نسل بعدی DeFi 3.0" راه‌اندازی شده بود، تنها چند ساعت پس از شروع به کار، به دلیل ضعف‌های امنیتی به زانو درآمد.

شرکت توسعه‌دهنده NGP هیچ اظهارنظری رسمی در مورد این مسئله نکرد. آخرین توییت آن‌ها با عنوان "stability meets growth" (پایداری با رشد روبرو می‌شود) که تنها چند ساعت قبل از حمله منتشر شده بود، پس از این رویداد به یک شوخی تلخ تبدیل شد. این اتفاق درس بزرگی برای کل اکوسیستم دیفای و وب۳ است؛ اینکه جاه‌طلبی‌های بزرگ برای بازسازی بخش مالی غیرمتمرکز، بدون پشتوانه یک امنیت پروتکلی قوی و بررسی‌های امنیتی دقیق، صرفاً به فاجعه منجر می‌شود. مواردی نظیر هک ۱۹۷ میلیون دلاری Euler Finance در سال ۲۰۲۳، هک ۱۳۰ میلیون دلاری Cream Finance در سال ۲۰۲۱ و هک ۲۲۳ میلیون دلاری پروتکل Cetus در سال ۲۰۲۵ نیز گواهی بر این حقیقت تلخ هستند که حتی پروژه‌های بزرگ‌تر نیز از خطر حملات وام سریع و سایر آسیب‌پذیری‌های امنیتی مصون نیستند.

پروژه‌های جدید دیفای باید امنیت را نه یک گزینه، بلکه یک اصل اساسی در طراحی خود بدانند. انجام ممیزی‌های امنیتی دقیق توسط شرکت‌های معتبر، تست‌های نفوذ جامع و توجه به تمام سناریوهای حمله احتمالی، از جمله دستکاری اوراکل و سوءاستفاده از وام‌های سریع، برای بقای هر پروتکل حیاتی است. مورد NGP یک یادآوری دردناک است که حتی با هوش مصنوعی و مدل‌های حکمرانی پیشرفته، اگر زیرساخت امنیتی محکم نباشد، پروژه از همان ابتدا محکوم به فناست و پیامدهای هک، از جمله سقوط قیمت و تخلیه نقدینگی، می‌تواند در عرض چند ساعت، سال‌ها تلاش و میلیاردها دلار سرمایه را بر باد دهد.

مروری بر بزرگ‌ترین حملات وام آنی در دیفای

پروتکل New Gold: رویاهای DeFi 3.0 و واقعیت تلخ

پروتکل New Gold که خود را پیشگام "DeFi 3.0" و پروتکل استیکینگ "با پایداری در هسته خود" معرفی می‌کرد، تنها ساعاتی پس از راه‌اندازی در تاریخ ۱۸ سپتامبر ۲۰۲۵، هدف یک حمله سایبری ۲ میلیون دلاری قرار گرفت. این پروتکل بر بستر بلاکچین BNB ساخته شده بود و هدف اصلی آن حل مشکل "نبود قوانین قیمت‌گذاری" در پروتکل‌های دیفای بود که به نوسانات و بی‌نظمی منجر می‌شود. تیم NGP مدعی بود با بهینه‌سازی مبتنی بر هوش مصنوعی به شفافیت، عدالت و پایداری دست خواهد یافت. آن‌ها NGP را پلتفرمی مقیاس‌پذیر، شفاف و زمان‌محور معرفی کردند که معیاری جدید برای استیکینگ تعیین می‌کند. هدف NGP ایجاد یک پلتفرم استیکینگ فراگیر با محیطی شفاف و خودکار بود که از طریق قراردادهای هوشمند اداره می‌شد. توکن بومی NGP با قابلیت توکن‌سوزی، به عنوان یک توکن ضدتورمی تبلیغ می‌شد و وعده توزیع بازده واقعی را می‌داد. وایت‌پیپر NGP بر شفافیت و پاسخگویی تأکید داشت، اما همانطور که رویدادها نشان دادند، شفافیت به تنهایی برای امنیت کافی نیست. این حمله، پروژه را از همان روز اول با خسارات شدیدی مواجه ساخت و نشان داد که سهل‌انگاری در طراحی پروتکل می‌تواند چه پیامدهای فاجعه‌باری داشته باشد.

جزئیات حمله: وام‌های آنی و دستکاری اوراکل

حمله به پروتکل New Gold با بهره‌برداری از دو نقص اساسی در طراحی آن صورت گرفت. تحلیلگران شرکت امنیتی بلاکچین Hacken گزارش دادند که هکر تنها شش ساعت قبل از حمله، از طریق وام‌های آنی (Flash Loans) و با استفاده از حساب‌های مختلف، حجم زیادی از دارایی‌ها را جمع‌آوری کرده بود. وام‌های آنی قابلیتی محبوب در پلتفرم‌های دیفای هستند که امکان قرض گرفتن سریع مقادیر زیادی از ارزهای دیجیتال را بدون نیاز به وثیقه فراهم می‌کنند و می‌توانند برای معاملات آربیتراژ، سرقت وجوه یا دستکاری قیمت استفاده شوند. در این حمله، مهاجم از تاکتیک دستکاری اوراکل (Oracle Manipulation) استفاده کرد. پروتکل NGP قیمت توکن خود را با اسکن ذخایر آن در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین می‌کرد، که این ویژگی به مهاجم اجازه داد تا قیمت را دستکاری کند. هکر با مبادله BUSD به NGP در PancakePair، قیمت توکن NGP را به سرعت افزایش داد. پروتکل New Gold دارای دو محدودیت بود: سقف خرید و سقف زمانی برای خریداران، اما هر دو توسط مهاجم با استفاده از آدرس "dEaD" به عنوان گیرنده، دور زده شدند. حرکت بعدی، تخلیه تقریباً تمام توکن‌های BUSD از پروتکل از طریق فروش NGP بود که پروتکل را با تقریباً هیچ بودجه‌ای رها کرد. مهاجم سپس ۱.۹ میلیون دلار ارز دیجیتال به دست آورد و بلافاصله آن را به ETH مبتنی بر BNB تبدیل کرد. اقدامات بعدی شامل واریز وجوه دزدیده شده به Tornado Cash بود. این اقدامات در حالی که قیمت NGP را به طور موقت بالا برد، پروتکل را با مقدار کمی از وجوه رها کرد و در نهایت، قیمت توکن NGP به میزان ۸۸ درصد سقوط کرد.

مروری بر حملات بزرگ وام آنی در دیفای

از زمان معرفی وام‌های آنی، حملات با بهره‌گیری از این قابلیت به سرعت به یکی از تاکتیک‌های رایج مجرمان سایبری تبدیل شده‌اند. این حملات، با استفاده از ماهیت لحظه‌ای و بدون وثیقه بودن وام‌های آنی، به مهاجمان اجازه می‌دهند تا مقادیر عظیمی از دارایی‌ها را برای اجرای عملیات پیچیده مانند دستکاری قیمت یا بهره‌برداری از باگ‌های قراردادهای هوشمند، در یک تراکنش واحد به دست آورند و سپس آن‌ها را بازپرداخت کنند. بزرگ‌ترین حمله از این نوع، در مارس ۲۰۲۳ رخ داد که در آن هکر حدود ۱۹۷ میلیون دلار از پروتکل Euler Finance سرقت کرد. در آن مورد، هکر از یک خطای محاسباتی در نرخ بهره پلتفرم سوءاستفاده کرده بود. نکته قابل توجه این بود که هکر به صورت داوطلبانه تمام وجوه را بازگرداند و عذرخواهی کرد. از جمله حملات مهم دیگر می‌توان به هک Cream Finance در سال ۲۰۲۱ با سرقت ۱۳۰ میلیون دلار، حمله به Polter در سال ۲۰۲۴ با سرقت ۱۲ میلیون دلار و سرقت ۲۲۳ میلیون دلار از پروتکل Cetus مبتنی بر Sui در سال ۲۰۲۵ اشاره کرد که وام آنی بخشی از طرح آن بود. این موارد به وضوح نشان می‌دهند که اگرچه وام‌های آنی می‌توانند ابزاری قدرتمند برای افزایش کارایی بازار باشند، اما اگر پروتکل‌های دیفای از مکانیزم‌های امنیتی کافی برخوردار نباشند، می‌توانند به ابزاری مخرب در دست مهاجمان تبدیل شوند و خسارات میلیون دلاری به بار آورند.

جمع‌بندی و توصیه‌های نهایی برای حفظ امنیت در دیفای

حادثه پروتکل New Gold در چین BNB، بار دیگر اهمیت امنیت سایبری را در اکوسیستم دیفای گوشزد می‌کند. این مورد نشان داد که حتی با جاه‌طلبانه‌ترین اهداف برای نوآوری و پایداری، سهل‌انگاری در بررسی‌های امنیتی می‌تواند یک پروژه را از همان لحظه راه‌اندازی به شکست بکشاند. پروژه‌ها باید فراتر از وعده‌های "DeFi 3.0" عمل کنند و تمرکز ویژه‌ای بر ممیزی‌های امنیتی دقیق، تست‌های نفوذ گسترده و بازبینی‌های مستمر قراردادهای هوشمند داشته باشند. اتکا صرف به شفافیت برای جلوگیری از حملات کافی نیست؛ پروتکل‌ها باید با سناریوهای پیچیده حملات، به خصوص حملات وام آنی و دستکاری اوراکل، به طور فعال مقابله کنند. برای توسعه‌دهندگان و کاربران دیفای، این حملات هشداری جدی است که درک خطرات نهفته در پروتکل‌ها و دارایی‌های دیجیتال ضروری است. کاربران باید همیشه تحقیقات خود (DYOR) را انجام دهند و تنها در پروتکل‌هایی سرمایه‌گذاری کنند که سابقه امنیتی قوی و تیم توسعه‌دهنده متعهدی دارند که به طور مداوم تدابیر امنیتی خود را بهبود می‌بخشند. در نهایت، رویکرد پیشگیرانه و اولویت‌بندی امنیت از طراحی تا اجرا، تنها راهی است که می‌تواند به تضمین آینده‌ای امن‌تر و پایدارتر برای دیفای کمک کند.