در دنیای پرشتاب و نوآورانه مالی غیرمتمرکز (DeFi)، پروژههای جدید با وعدههای بزرگ و فناوریهای پیشرفته ظهور میکنند. پروتکل نیو گلد (The New Gold Protocol)، که خود را «دیفای 3.0» و یک پروتکل استیکینگ پایدار با محوریت هوش مصنوعی معرفی میکرد، یکی از همین پروژهها بود. این پروتکل که بر بستر بلاکچین BNB ساخته شده بود، در تاریخ ۱۸ سپتامبر ۲۰۲۵ (۲۷ شهریور ۱۴۰۴) راهاندازی شد. اما متأسفانه، چند ساعت پس از آغاز به کار، مورد حمله سایبری قرار گرفت و آسیب جدی دید. این اتفاق تلخ، نمونهای بارز از این است که چگونه غفلت در طراحی امنیتی یک پروتکل میتواند از همان روز اول، سرنوشت یک پروژه جاهطلبانه را به نابودی بکشاند و زنگ هشداری برای جامعه کریپتو و وب۳ باشد.
پروتکل نیو گلد با اهداف بلندپروازانهای پا به عرصه گذاشت. این پروتکل ادعا میکرد که مشکل «فقدان قوانین قیمتگذاری» در بسیاری از پروتکلهای دیفای را حل خواهد کرد؛ مشکلی که به گفته وایتپیپر آنها، منجر به نوسانات و بینظمی در بازار میشود. هدف NGP این بود که از طریق بهینهسازی مبتنی بر هوش مصنوعی، شفافیت، عدالت و پایداری را به ارمغان بیاورد. تیم سازنده، نیو گلد را «نسل بعدی دیفای 3.0» میدانست که قرار بود از رقبای خود که فاقد سود ذاتی و مدلهای حکمرانی ناکارآمد هستند، پیشی بگیرد. این پروتکل به دنبال ایجاد یک پلتفرم استیکینگ جامع با محیطی شفاف و خودکار بود که از طریق قراردادهای هوشمند اداره شود. توکن بومی NGP با سوزاندن توکنها، به عنوان یک دارایی کاهش تورم (deflationary) تبلیغ میشد و توزیع سود واقعی را به جای مشوقهای تورمی و سوداگرانه وعده میداد. وایتپیپر NGP بر این باور بود که شفافیت، پاسخگویی را تضمین میکند. اما، همانطور که معلوم شد، این کافی نبود و در نهایت، حفرههای امنیتی در طراحی پروتکل، منجر به فاجعه شد.
حمله به پروتکل نیو گلد تنها ساعاتی پس از عرضه توکن NGP اتفاق افتاد. مهاجم، دو نقص اساسی در طراحی پروتکل را شناسایی و مورد سوءاستفاده قرار داد. اگرچه برای جلوگیری از حملات تورم قیمتی، محدودیتهایی برای خرید توکن NGP در نظر گرفته شده بود، اما هکر راهی برای دور زدن آنها پیدا کرد. بر اساس تحلیلهای شرکت امنیت بلاکچین هاکن (Hacken)، شش ساعت پیش از حمله، مهاجم با استفاده از چندین حساب کاربری، مقدار زیادی دارایی را از طریق وامهای فلش (flash loans) جمعآوری کرد. وامهای فلش یکی از ویژگیهای رایج در پلتفرمهای دیفای هستند که امکان قرض گرفتن سریع داراییهای رمزنگاری شده را بدون وثیقه فراهم میکنند و میتوانند برای آربیتراژ، سرقت از یک پروتکل یا دستکاری قیمت مورد استفاده قرار گیرند. حملات وام فلش میتوانند خسارات میلیونی به بار آورند.
در این حمله، مهاجم از تاکتیک «دستکاری اوراکل» (oracle-manipulation) استفاده کرد. پروتکل NGP قیمت توکن خود را با اسکن کردن ذخایر خود در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین میکرد؛ این مکانیسم به مهاجم اجازه داد تا قیمت را دستکاری کند. مهاجم با مبادله BUSD به NGP در PancakePair، قیمت NGP را به سرعت بالا برد. پروتکل نیو گلد دارای دو محدودیت بود: یک محدودیت خرید و یک محدودیت زمان خنکسازی (cooldown limit) برای خریداران. هر دو این محدودیتها توسط مهاجم دور زده شدند، زیرا وی از آدرس «dEaD» به عنوان گیرنده استفاده کرد. گام بعدی، تخلیه تقریباً تمام توکنهای BUSD از پروتکل با فروش NGP بود، که پروتکل نیو گلد را تقریباً بدون سرمایه رها کرد. مهاجم سپس ۱.۹ میلیون دلار ارز دیجیتال به دست آورد و بلافاصله آن را به اتریوم مبتنی بر BNB تبدیل کرد. تیم هاکن گزارش داد که مهاجم در ادامه، وجوه سرقت شده را از طریق اتریوم که با Across متصل شده بود، به Tornado Cash واریز کرد. این اقدامات در حالی که NGP را با مقدار کمی سرمایه تنها گذاشته بود، قیمت NGP را به شدت بالا برد و سپس، قیمت توکن NGP با سقوطی ۸۸ درصدی مواجه شد.
متأسفانه، علیرغم برنامههای جاهطلبانه برای متحول کردن بخش دیفای و ساخت محصولی پایدار، پروتکل نیو گلد امنیت خود را نادیده گرفت و با آسیب جدی روبرو شد. این شرکت در مورد این حادثه اظهار نظری نکرد و آخرین توییت آن با مضمون «ثبات با رشد ملاقات میکند» که ساعاتی پیش از حمله منتشر شده بود، اکنون به شوخی تلخی شبیه است. همانطور که تاریخ دیفای نشان میدهد، حملات وام فلش بلافاصله پس از معرفی این قابلیت، به یکی از تاکتیکهای رایج مجرمان تبدیل شدند. از جمله بزرگترین این حملات میتوان به سرقت ۱۹۷ میلیون دلاری از پروتکل Euler Finance در مارس ۲۰۲۳ و همچنین حمله به Cream Finance با ۱۳۰ میلیون دلار در سال ۲۰۲۱، Polter با ۱۲ میلیون دلار در سال ۲۰۲۴ و Cetus با ۲۲۳ میلیون دلار در سال ۲۰۲۵ اشاره کرد. این حوادث تأکید میکنند که طراحی دقیق و حسابرسیهای امنیتی جامع، نه تنها یک گزینه، بلکه یک ضرورت حیاتی برای هر پروژه در فضای کریپتو و وب۳ است. امنیت باید در هسته طراحی هر پروتکل قرار گیرد تا از تکرار سرنوشت پروتکل نیو گلد جلوگیری شود و اعتماد کاربران به اکوسیستم دیفای حفظ گردد.
پروتکل The New Gold Protocol (NGP)، که خود را "DeFi 3.0" و با محوریت پایداری معرفی کرده بود، تنها چند ساعت پس از راهاندازی در ۱۸ سپتامبر ۲۰۲۵، مورد حمله سایبری قرار گرفت. این حمله نشاندهنده آن است که چگونه غفلت در طراحی پروتکل میتواند یک پروژه را از همان روز اول به نابودی بکشاند. NGP که یک پروتکل استیکینگ بر بستر بلاکچین BNB بود، با هدف حل "کمبود قوانین قیمتگذاری" و از طریق بهینهسازی هوش مصنوعی، شفافیت، انصاف و پایداری را نوید میداد. تیم سازنده مدعی بود که این پلتفرم شفاف، خودکار و پایدار توسط قراردادهای هوشمند اداره میشود و توکن بومی آن (NGP) به دلیل توکنسوزی، کاهشدهنده تورم است و سود واقعی را به جای مشوقهای تورمی و سوداگرانه توزیع میکند. اما متأسفانه، همانطور که مشخص شد، وعده شفافیت به تنهایی برای تضمین امنیت کافی نبود.
وامهای آنی (Flash Loans)، که یکی از ویژگیهای محبوب و در عین حال خطرناک در پلتفرمهای دیفای (DeFi) هستند، امکان قرض گرفتن مقادیر زیادی از ارزهای دیجیتال را بدون نیاز به وثیقه و در مدت زمان بسیار کوتاه (معمولاً در یک تراکنش واحد) فراهم میکنند. این وامها میتوانند برای اهداف مشروعی مانند آربیتراژ (کسب سود از تفاوت قیمت در صرافیهای مختلف) به کار روند، اما همانطور که تجربه نشان داده، به ابزاری قدرتمند برای مجرمان سایبری جهت دستکاری قیمت یا سرقت وجوه از پروتکلها نیز تبدیل شدهاند. طبق تحلیلگران شرکت امنیتی بلاکچین Hacken، هکر پروتکل NGP، شش ساعت قبل از حمله اصلی، با استفاده از حسابهای مختلف، تعداد زیادی دارایی را از طریق وامهای آنی جمعآوری کرده بود. این اقدام اولیه، گام حیاتی برای اجرای حملهای پیچیدهتر بود که میتوانست خسارات میلیونی به دنبال داشته باشد. تاریخچه اکوسیستم کریپتو، موارد متعددی از حملات وام آنی را به خود دیده که هر یک صدها میلیون دلار خسارت وارد کردهاند، مانند حمله ۱۹۷ میلیون دلاری به Euler Finance در مارس ۲۰۲۳، یا سرقت ۱۳۰ میلیون دلاری از Cream Finance در سال ۲۰۲۱، و همینطور ۲۲۳ میلیون دلار از پروتکل Cetus در سال ۲۰۲۵.
یکی از اصلیترین آسیبپذیریهایی که در طراحی NGP مورد سوءاستفاده قرار گرفت، نحوه تعیین قیمت توکن NGP بود. پروتکل NGP قیمت توکن خود را با اسکن ذخایر آن در استخر نقدینگی صرافی غیرمتمرکز (DEX) مشخص میکرد. این روش، که متکی به اوراکلهای متمرکز یا ضعیف است، در برابر تاکتیک "دستکاری اوراکل" آسیبپذیر است. هکر با استفاده از این نقص، فرآیند حمله را آغاز کرد: ابتدا با مبادله BUSD به NGP در PancakePair، به سرعت قیمت توکن NGP را افزایش داد. پس از آن، برای دور زدن دو محدودیت امنیتی NGP – یعنی محدودیت خرید و محدودیت زمان خنکسازی برای خریداران – هکر از یک آدرس "dEaD" (معمولاً آدرسی که توکنهای ارسالی به آن غیرقابل دسترسی میشوند) به عنوان گیرنده استفاده کرد. این ترفند به او اجازه داد تا این محدودیتها را نادیده بگیرد. حرکت بعدی و ویرانگر، تخلیه تقریباً تمام توکنهای BUSD از پروتکل با فروش NGP بود، که پروتکل The New Gold Protocol را عملاً بدون وجوه باقی گذاشت. این واقعه بار دیگر اهمیت حیاتی اوراکلهای امن و مقاوم در برابر دستکاری را در فضای دیفای برجسته میکند.
پس از تخلیه وجوه، هکر موفق به کسب ۱.۹ میلیون دلار ارز دیجیتال شد و بلافاصله این وجوه را به ETH مبتنی بر BNB تبدیل کرد. طبق گزارش تیم Hacken، اقدامات بعدی شامل واریز وجوه سرقت شده به Tornado Cash از طریق اتریوم (Ethereum) پلشده با Across بود. این سلسله اقدامات در حالی قیمت NGP را به طور موقت بالا برد که پروتکل را با مقدار ناچیزی وجوه رها کرد. در نتیجه، قیمت توکن NGP به سرعت ۸۸ درصد سقوط کرد. این حادثه تلخ، علیرغم برنامههای بلندپروازانه پروتکل NGP برای بازسازی بخش دیفای و ایجاد یک محصول پایدار، نشان داد که نادیده گرفتن امنیت میتواند عواقب وخیمی داشته باشد. جمله آخر در توییتر پروتکل NGP که چند ساعت قبل از حمله منتشر شده بود و میگفت "ثبات با رشد همراه است"، اکنون به شوخی تلخی شبیه شده است. این مورد یک یادآور جدی برای تمام پروژههای وب۳ است که شفافیت و پایداری به تنهایی کافی نیستند؛ امنیت پروتکل و مقابله با بردارهای حمله شناختهشده مانند وامهای آنی و دستکاری اوراکل، باید در هسته طراحی و توسعه قرار گیرد. درس این واقعه واضح است: بدون یک پایه امنیتی مستحکم، حتی نوآورانهترین ایدهها نیز ممکن است از روز اول محکوم به شکست باشند.
پروتکلهای دیفای (DeFi) با وعده شفافیت، تمرکززدایی و بازدهی بالا به سرعت جای خود را در اکوسیستم کریپتو باز کردهاند. با این حال، همانطور که مورد پروتکل "The New Gold Protocol" نشان داد، بلندپروازیهای نوآورانه بدون توجه کافی به امنیت، میتواند یک پروژه را از همان روز اول به نابودی بکشاند. این پروتکل که با نام "DeFi 3.0" و ادعای پایداری و بهینهسازی هوش مصنوعی معرفی شده بود، تنها ساعاتی پس از راهاندازی در ۱۸ سپتامبر ۲۰۲۵، هدف یک حمله سایبری قرار گرفت. این حادثه تلخ، نمونه بارزی از چگونگی نادیده گرفتن امنیت در طراحی پروتکل است که منجر به خسارات میلیونی و از بین رفتن اعتماد کاربران میشود.
پروتکل The New Gold Protocol (NGP) بر بستر بلاکچین BNB ساخته شده بود و هدفش حل مشکل «فقدان قوانین قیمتگذاری» و «مکانیسمهای استانداردسازینشده برای قیمتگذاری رفتار» در بسیاری از پروتکلهای دیفای بود. تیم NGP مدعی بود که با استفاده از بهینهسازی هوش مصنوعی به شفافیت، عدالت و پایداری دست مییابد و یک پلتفرم استیکینگ فراگیر با محیطی شفاف و خودکار توسط قراردادهای هوشمند ایجاد میکند. توکن بومی NGP با مکانیسم توکنسوزی، ضدتورمی معرفی شده و وعده توزیع سود واقعی به جای انگیزههای تورمی و گمانهزنی را میداد.
با این حال، همه این وعدهها و ادعای شفافیت که به گفته وایتپیپر، پاسخگویی را تضمین میکرد، نتوانست پروژه را از حملهای ویرانگر نجات دهد. هکر از دو نقطه ضعف اساسی در طراحی NGP بهرهبرداری کرد. یکی از این ضعفها مربوط به نحوه تعیین قیمت توکن NGP بود. پروتکل با اسکن ذخایر خود در استخر نقدینگی صرافی غیرمتمرکز (DEX) قیمت را مشخص میکرد که این روش، آن را در برابر دستکاری اوراکل آسیبپذیر میساخت. ضعف دوم، امکان دور زدن محدودیتهای خرید و زمان انتظار برای خریداران بود که پروتکل برای جلوگیری از حملات تورم قیمت در نظر گرفته بود.
این حمله نشان داد که حتی با جاهطلبیهای بالا برای بازآفرینی بخش دیفای و ساخت یک محصول پایدار، غفلت از امنیت سایبری میتواند عواقب جبرانناپذیری به بار آورد. شفافیت به تنهایی، بدون پشتوانه یک طراحی امن و مقاوم در برابر حملات، کافی نیست و صرفاً به کاربر این امکان را میدهد که سقوط پروژه را در لحظه مشاهده کند.
شرکت امنیتی بلاکچین هکن (Hacken) جزئیات این حمله را تحلیل کرده است. شش ساعت پیش از حمله، هکر با استفاده از چندین حساب کاربری، تعداد زیادی از داراییها را از طریق وامهای فلش (Flash Loans) انباشت کرده بود. وامهای فلش یکی از ویژگیهای محبوب در پلتفرمهای دیفای هستند که امکان قرض گرفتن سریع داراییهای کریپتو را بدون نیاز به وثیقه فراهم میکنند. این وامها اغلب برای آربیتراژ، دستکاری قیمت یا سرقت وجوه از پروتکلها مورد استفاده قرار میگیرند و خسارات ناشی از حملات وام فلش میتواند به میلیونها دلار برسد.
هکر از تاکتیک دستکاری اوراکل استفاده کرد. ابتدا با سواپ توکن BUSD به NGP در PancakePair، قیمت NGP را به سرعت بالا برد. پروتکل NGP دارای دو محدودیت بود: محدودیت خرید و محدودیت خنککننده (cooldown limit) برای خریداران. هکر با استفاده از آدرس خاص و از پیش تعیینشده "dEaD" به عنوان گیرنده، هر دو این محدودیتها را دور زد. این اقدام هوشمندانه به هکر اجازه داد تا بدون مواجهه با موانع امنیتی پروتکل، روند حمله را پیش ببرد.
مرحله بعدی، تخلیه تقریباً تمام توکنهای BUSD از پروتکل با فروش NGP بود. این کار باعث شد پروتکل The New Gold Protocol تقریباً بدون هیچ سرمایهای بماند. سپس هکر حدود ۱.۹ میلیون دلار ارز دیجیتال به دست آورد و بلافاصله وجوه را به ETH مبتنی بر BNB تبدیل کرد. بر اساس گزارش تیم هکن، اقدامات بعدی شامل واریز وجوه دزدیدهشده به تورنادو کش (Tornado Cash) از طریق پل اتریوم (Ethereum bridged with Across) بود تا ردیابی تراکنشها دشوارتر شود. این سلسله اقدامات در نهایت منجر به افزایش موقت قیمت NGP شد در حالی که پروتکل تنها با مقدار کمی از وجوه باقی ماند. بلافاصله پس از آن، قیمت توکن NGP ۸۸ درصد سقوط کرد.
حمله به پروتکل NGP، بار دیگر آسیبپذیریهای ذاتی و ریسکهای موجود در فضای دیفای را برجسته ساخت. این حادثه نشان داد که حتی با ادعاهای نوآورانه و تمرکز بر پایداری، غفلت از بررسیهای امنیتی دقیق و طرحریزی مکانیزمهای دفاعی قوی میتواند عواقب فاجعهباری داشته باشد. جمله آخر توییت NGP که چند ساعت قبل از حمله منتشر شده بود و میگفت "پایداری با رشد همراه است"، پس از این رخداد، همچون یک طنز تلخ به نظر میرسید.
حملات وام فلش از زمان معرفی این قابلیت، به یکی از تاکتیکهای رایج مجرمان سایبری در فضای وب۳ تبدیل شدهاند. بزرگترین حمله در مارس ۲۰۲۳ رخ داد که هکر توانست حدود ۱۹۷ میلیون دلار از پروتکل Euler Finance سرقت کند. نمونههای برجسته دیگر شامل حمله به Cream Finance با ۱۳۰ میلیون دلار سرقت در سال ۲۰۲۱ و Polter با ۱۲ میلیون دلار در سال ۲۰۲۴ است. در سال ۲۰۲۵ نیز، وام فلش بخشی از طرحی بود که ۲۲۳ میلیون دلار کریپتو را از پروتکل Cetus بر بستر Sui از بین برد. این موارد، وسعت و جدیت تهدیدات امنیتی در اکوسیستم کریپتو را نشان میدهند.
درس اصلی از این حادثه و موارد مشابه آن، این است که در فضای پرشتاب بلاکچین و دیفای، توسعهدهندگان پروتکلها باید امنیت را نه یک گزینه، بلکه یک اولویت مطلق در تمام مراحل طراحی و پیادهسازی قرار دهند. انجام ممیزیهای امنیتی دقیق توسط شرکتهای مستقل، طراحی قراردادهای هوشمند مقاوم در برابر حملات شناخته شده مانند دستکاری اوراکل و استفاده از اوراکلهای غیرمتمرکز و مقاوم، و همچنین تستهای گسترده پیش از راهاندازی، برای حفاظت از سرمایههای کاربران و اعتبار پروژه حیاتی هستند. شفافیت و نوآوری بدون امنیت کافی، نمیتواند به پایداری واقعی منجر شود.
پروتکل The New Gold Protocol (NGP) که خود را یک پروتکل استیکینگ "DeFi 3.0" با محوریت پایداری و شفافیت معرفی کرده بود، تنها چند ساعت پس از راهاندازی در ۱۸ سپتامبر ۲۰۲۵، با یک حمله سایبری بزرگ مواجه شد. این پروتکل که بر بستر بلاکچین BNB فعالیت میکرد و وعدهٔ ارائهٔ بازدهی واقعی و توکنهای کاهشی (deflationary) را میداد، نتوانست در برابر آسیبپذیریهای طراحی خود دوام بیاورد. پیامد این سهلانگاری امنیتی، سرقت ۱.۹ میلیون دلار از داراییهای پروتکل و سقوط ۸۸ درصدی قیمت توکن بومی NGP بود که به سرعت پروژه را به ورطه نابودی کشاند.
پروتکل The New Gold Protocol ادعا میکرد که با تمرکز بر شفافیت، عدالت و پایداری از طریق بهینهسازی مبتنی بر هوش مصنوعی، میخواهد "کمبود قوانین قیمتگذاری" در بسیاری از پروتکلهای دیفای را حل کند. این پروتکل نسل بعدی "DeFi 3.0" قصد داشت با استفاده از قراردادهای هوشمند، محیطی شفاف و خودکار برای پلتفرم استیکینگ خود فراهم آورد و با سوزاندن توکنها، ماهیت کاهشی توکن NGP را تقویت کند. با این حال، همانطور که رویداد هک نشان داد، شفافیت به تنهایی برای تضمین امنیت و پاسخگویی کافی نبود. تحلیلگران شرکت امنیت بلاکچین Hacken مشخص کردند که هکر از دو نقص اساسی در طراحی NGP بهرهبرداری کرده است. یکی از این نقصها مربوط به شیوهٔ تعیین قیمت توکن NGP بود. پروتکل با اسکن ذخایر خود در استخر نقدینگی صرافی غیرمتمرکز (DEX)، قیمت توکن را مشخص میکرد که این روش، آن را در برابر دستکاری اوراکل (oracle manipulation) آسیبپذیر میساخت. علاوه بر این، NGP دارای دو محدودیت برای خریداران بود: محدودیت خرید و محدودیت زمانی (cooldown limit) که متأسفانه هر دو توسط هکر با استفاده از یک آدرس خاص (آدرس "dEaD") به راحتی دور زده شدند.
حمله به پروتکل The New Gold Protocol یک نمونه بارز از ترکیب تاکتیکهای پیشرفته در فضای دیفای بود. شش ساعت پیش از اجرای حمله نهایی، هکر با استفاده از وامهای فلش (flash loans) و از طریق حسابهای مختلف، حجم زیادی از داراییها را جمعآوری کرد. وامهای فلش قابلیتی محبوب در پلتفرمهای دیفای هستند که به کاربران اجازه میدهند داراییهای کریپتو را به سرعت و بدون نیاز به وثیقه قرض بگیرند؛ مشروط بر اینکه وام در همان تراکنش بازپرداخت شود. این وامها اغلب برای آربیتراژ، دستکاری قیمت یا سرقت از پروتکلها به کار گرفته میشوند و میتوانند خسارات میلیون دلاری به بار آورند.
سناریوی حمله به NGP به این صورت بود: ابتدا، هکر با استفاده از استراتژی دستکاری اوراکل، شروع به معامله BUSD با NGP در PancakePair کرد. این اقدام باعث پمپاژ سریع قیمت توکن NGP شد. سپس، با دور زدن محدودیتهای خرید و زمان انتظار پروتکل، هکر توانست به عملیات خود ادامه دهد. گام بعدی، فروش توکنهای NGP به منظور تخلیه تقریباً تمام توکنهای BUSD از پروتکل بود. این عملیات باعث شد که پروتکل NGP تقریباً بدون هیچ سرمایهای باقی بماند. در نهایت، هکر موفق به کسب ۱.۹ میلیون دلار دارایی دیجیتال شد و بلافاصله وجوه سرقت شده را به ETH مبتنی بر BNB تبدیل کرد. تیم Hacken گزارش داد که در مراحل بعدی، این وجوه از طریق پل Ethereum به Across به Tornado Cash واریز شد تا ردیابی آنها دشوار شود. این سری اقدامات، در حالی که قیمت NGP را به طور موقت بالا میبرد، اما در نهایت پروتکل را با اندکی دارایی باقی گذاشت و زمینه را برای سقوط آزاد قیمت فراهم آورد.
نتیجه نهایی این حمله ویرانگر، به سرعت آشکار شد. تنها مدت کوتاهی پس از آنکه پروتکل The New Gold Protocol از داراییهای خود تهی شد، قیمت توکن NGP با سقوطی ۸۸ درصدی مواجه گشت. این رخداد، تمامی جاهطلبیهای پروتکل برای بازتعریف بخش دیفای و ایجاد یک محصول پایدار را به سخره گرفت. شرکت NGP در مورد این حادثه هیچ اظهار نظری نکرد و آخرین توییت آنها با عنوان "پایداری با رشد همراه است" که ساعاتی پیش از حمله منتشر شده بود، اکنون به شوخی تلخی شبیه بود. این مورد به وضوح نشان میدهد که حتی با وجود برنامههای بلندپروازانه و تمرکز بر نوآوری (مانند استفاده از هوش مصنوعی و مفهوم DeFi 3.0)، غفلت از امنیت میتواند پروژهای را از روز اول محکوم به شکست کند.
حملات وام فلش، از زمان معرفی این قابلیت، به سرعت به یکی از تاکتیکهای رایج مجرمان سایبری در فضای کریپتو تبدیل شدهاند. از نمونههای برجسته دیگر میتوان به حمله مارس ۲۰۲۳ به پروتکل Euler Finance اشاره کرد که منجر به سرقت حدود ۱۹۷ میلیون دلار از داراییها شد (اگرچه هکر در آن مورد، داوطلبانه وجوه را بازگرداند). همچنین، حملات مشابهی علیه Cream Finance (۱۳۰ میلیون دلار در سال ۲۰۲۱) و Polter (۱۲ میلیون دلار در ۲۰۲۴) و پروتکل Cetus در سال ۲۰۲۵ (۲۲۳ میلیون دلار) نیز رخ داده است. این حوادث پیدرپی بر اهمیت بیقید و شرط امنیت در طراحی پروتکلهای بلاکچین و قراردادهای هوشمند تأکید دارند. توسعهدهندگان در حوزه web3 باید فراتر از وعدههای شفافیت و پایداری، به ممیزیهای امنیتی دقیق، تستهای نفوذ و مکانیزمهای دفاعی قوی در برابر حملاتی مانند دستکاری اوراکل و بهرهبرداری از وامهای فلش، اولویت دهند تا از سرمایههای کاربران و اعتبار کل اکوسیستم دیفای محافظت کنند.
در دنیای پرشتاب امور مالی غیرمتمرکز (DeFi)، پروژههای جدید با وعدههایی نظیر بازدهی پایدار و نوآوریهای هوش مصنوعی پا به عرصه میگذارند. پروتکل New Gold (NGP) که بر روی بلاکچین BNB Chain ساخته شده بود و خود را پروتکل «DeFi 3.0» و «نسل بعدی» معرفی میکرد، از این قاعده مستثنی نبود. این پلتفرم استیکینگ با تمرکز بر شفافیت، پایداری و بهینهسازی هوش مصنوعی، قصد داشت تا با حل مشکل «نبود قوانین قیمتگذاری استاندارد» و مدلهای حاکمیتی ناکارآمد، از رقبای خود پیشی بگیرد. وایتپیپر NGP توکن بومی خود را بهدلیل مکانیزمهای توکن سوزی، بهعنوان یک دارایی ضدتورمی معرفی کرده و وعده توزیع بازدهی واقعی را بهجای مشوقهای تورمزا و سفتهبازانه میداد. این پروتکل سعی در ایجاد یک محیط شفاف و خودکار با استفاده از قراردادهای هوشمند داشت تا پلتفرمی فراگیر برای استیکینگ فراهم آورد.
با وجود تمام وعدهها و برنامههای بلندپروازانه برای متحول کردن بخش دیفای، پروتکل New Gold تنها چند ساعت پس از راهاندازی در ۱۸ سپتامبر ۲۰۲۵، مورد حمله سایبری قرار گرفت و تقریباً ۲ میلیون دلار از داراییهایش به سرقت رفت. این حادثه تلخ، نتیجه نادیده گرفتن امنیت و وجود دو نقص اساسی در طراحی پروتکل بود که منجر به فاجعه از همان روز اول شد. تیم NGP علیرغم تأکید بر شفافیت بهعنوان تضمینکننده پاسخگویی، متوجه شد که صرفاً شفافیت به تنهایی کافی نیست. اگرچه پروتکل محدودیتهایی برای جلوگیری از حملات تورم قیمت تعیین کرده بود، اما هکر راهی برای دور زدن این محدودیتها پیدا کرد. این اتفاق نشان داد که حتی با جاهطلبانهترین اهداف نیز، غفلت در حوزه امنیت میتواند یک پروژه را به سرعت به نابودی بکشاند.
تحلیلگران شرکت امنیتی بلاکچین هکن (Hacken) فاش کردند که هکر شش ساعت قبل از حمله، از طریق وامهای آنی (Flash Loans) و با استفاده از حسابهای مختلف، حجم زیادی از داراییها را جمعآوری کرده بود. وامهای آنی قابلیتی محبوب در پلتفرمهای دیفای هستند که به کاربران امکان میدهند داراییهای کریپتو را به سرعت و بدون نیاز به وثیقه قرض بگیرند؛ مشروط بر اینکه وام در همان تراکنش بازپرداخت شود. این وامها میتوانند برای آربیتراژ، سرقت از پروتکلها یا دستکاری قیمت مورد استفاده قرار گیرند. همانطور که هکن اشاره میکند، آسیبهای ناشی از حملات وام آنی میتواند به میلیونها دلار برسد. در مورد NGP، مهاجم از تاکتیک دستکاری اوراکل (Oracle Manipulation) استفاده کرد. پروتکل قیمت توکن NGP را با اسکن ذخایر آن در استخر نقدینگی صرافی غیرمتمرکز (DEX) تعیین میکرد که همین امر به هکر اجازه داد قیمت را دستکاری کند.
مهاجم ابتدا با جابجایی BUSD به NGP در PancakePair، قیمت NGP را به سرعت بالا برد. پروتکل New Gold دارای دو محدودیت بود: یک حد خرید و یک حد خنککننده (cooldown limit) برای خریداران. هر دوی این محدودیتها توسط مهاجم دور زده شدند، زیرا او از آدرس «dEaD» به عنوان گیرنده استفاده کرد. گام بعدی، تخلیه تقریباً تمام توکنهای BUSD از پروتکل از طریق فروش NGP بود که پروتکل را با کمترین میزان وجه ممکن تنها گذاشت. سپس مهاجم موفق به کسب ۱.۹ میلیون دلار ارز دیجیتال شد و بلافاصله وجوه را به ETH مبتنی بر BNB تبدیل کرد. بر اساس گزارش تیم هکن، اقدامات بعدی شامل واریز وجوه سرقت شده به Tornado Cash از طریق اتریوم پلسازی شده با Across بود. این عملیات در حالی که پروتکل را با حداقل وجوه باقی میگذاشت، قیمت NGP را بالا برد. اندکی پس از آن، قیمت توکن NGP به میزان ۸۸ درصد سقوط کرد. متأسفانه، توییت اخیر تیم NGP با عنوان «ثبات با رشد همراه است» که چندین ساعت قبل از حمله منتشر شده بود، اکنون مانند یک شوخی تلخ به نظر میرسد و تیم هیچ اظهار نظری در این خصوص نکرد.
حملات وام آنی به سرعت به یکی از تاکتیکهای رایج مجرمان سایبری تبدیل شدهاند. بزرگترین حمله از این نوع در مارس ۲۰۲۳ رخ داد که طی آن هکر موفق شد حدود ۱۹۷ میلیون دلار از داراییهایی مانند Wrapped Bitcoin و Wrapped Ethereum را از پروتکل Euler Finance به سرقت ببرد. در آن زمان، هکر از خطایی در نرخ محاسبه پلتفرم سوءاستفاده کرده بود. نکته قابل توجه این بود که هکر به صورت داوطلبانه تمام وجوه را بازگرداند و عذرخواهی کرد. از دیگر نمونههای برجسته میتوان به هک Cream Finance در سال ۲۰۲۱ با ۱۳۰ میلیون دلار سرقت و هک Polter در سال ۲۰۲۴ با ۱۲ میلیون دلار سرقت اشاره کرد. در سال ۲۰۲۵ نیز، یک وام آنی بخشی از طرحی بود که ۲۲۳ میلیون دلار کریپتو را از پروتکل Cetus در بلاکچین Sui محو کرد. این حوادث مکرر، اهمیت ممیزیهای امنیتی دقیق و طراحی مستحکم پروتکلها را بیش از پیش نمایان میسازد و به کاربران و توسعهدهندگان گوشزد میکند که همیشه باید به امنیت در حوزه دیفای اولویت بدهند.
حادثه پروتکل New Gold بار دیگر نشان داد که در فضای دیفای، وعدههای بلندپروازانه بدون پشتوانه امنیتی قوی، تنها راهی به سوی فاجعه است. امنیت، نه یک ویژگی اضافی، بلکه ستون فقرات هر پروژه پایدار و قابل اعتماد در این حوزه است. توسعهدهندگان باید از همان ابتدا، طراحی امن پروتکل را در اولویت قرار داده و از ممیزیهای امنیتی جامع و مداوم توسط شرکتهای مستقل بهرهمند شوند. مفهوم «شفافیت» اگرچه حیاتی است، اما به تنهایی نمیتواند جایگزین تدابیر امنیتی فنی شود. کاربران نیز باید با هوشیاری کامل به بررسی پروژهها بپردازند، وایتپیپرها را با دقت مطالعه کرده و ریسکهای امنیتی را جدی بگیرند. سرمایهگذاری در پروژههایی که تاریخچه امنیتی ثابت شدهای ندارند و یا نسبت به ممیزیهای امنیتی بیتفاوتاند، میتواند منجر به ضررهای جبرانناپذیری شود. آینده دیفای به ساخت پروتکلهایی وابسته است که علاوه بر نوآوری، از استحکام امنیتی بینظیری برخوردار باشند تا اعتماد کاربران را جلب کرده و در برابر تهدیدات روزافزون، تابآور باشند. این حادثه هشداری جدی است که نشان میدهد حتی پروژههایی با بهترین اهداف نیز، در صورت غفلت از امنیت، محکوم به شکست خواهند بود.
تفاوتهای کلیدی فرآیندهای مینت، لیست و انتقال NFT را به زبان ساده توضیح میدهد و مسیر...
بررسی جامع حق امتیاز (Royalty) در NFT از جنبههای فنی و اقتصادی، مزایای آن برای خالقان...
هر آنچه باید در مورد فرآیند Reveal یا رونمایی NFT بدانید. بررسی نقش آن در ایجاد...
