incrypted.com
- Из-за критической уязвимости в смартконтракте хакер взломал Meta Pool на $27 млн, но вывел лишь более $132 000.
- Платформе удалось отбить атаку благодаря быстрому реагированию и низкой ликвидности.
- Meta Pool пообещала компенсации.
Мультичейн экосистема ликвидного стейкинга Meta Pool сообщила о попытке хакерской атаки, в результате которой злоумышленник смог незаконно создать токены mpETH на сумму почти $27 млн. Тем не менее, благодаря низкой ликвидности пулов и своевременному реагированию команды, хакеру удалось вывести лишь около 52,5 ETH (примерно $132 825 на момент написания статьи).
«Наши системы раннего обнаружения позволили быстро приостановить работу скомпрометированного смартконтракта и предотвратить дальнейший несанкционированный доступ или дополнительные потери», — говорится в сообщении Meta Pool.
Атаку осуществили из-за уязвимости в функционале fast unstake — быстрого вывода стейкинг-активов, что позволяет избегать привычного периода ожидания перед переводом токенов. Именно эта функция позволила хакеру воспользоваться критической уязвимостью и бесплатно сгенерировать большое количество токенов mpETH.
«Хакер воспользовался функцией быстрого снятия, чтобы создать тысячи mpETH», — написал соучредитель Meta Pool Клаудио Коссио.
Обновление по ETH exploit на Meta Pool:
– Claudio Cossio (@ccossio) 17 июня 2025 г
– Все ETH, поставленные на Meta Pool, являются SAFU.
– Сумма, которую забрал злоумышленник, составляет около 47 000 долларов США
– Эксплойт повлиял на функционал быстрого разстайка, что позволило злоумышленнику майнить mpETH.
– Злоумышленник отчеканил около 10 600 mpETH.
-..
Компания PeckShield, которая занимается безопасностью блокчейнов, подтвердила:
«В смартконтракте для стейкинга была критическая ошибка. Она позволила злоумышленнику бесплатно чеканить mpETH, но низкая ликвидность токена ограничила прибыль».
После незаконной эмиссии mpETH, хакер попытался обменять их на актив Ethereum, используя пулы ликвидности на Ethereum и Optimism. Ему удалось вытащить только 52,5 ETH, поскольку большинство пулов имели низкий объем ликвидности.
«Стоит уточнить, что весь стейкинговый Ethereum остается безопасным — он делегирован операторам SSV Network, которые продолжают валидировать блоки и генерировать вознаграждения», — заявила команда Meta Pool.
Meta Pool пообещала «возместить все активы, потерянные в результате инцидента».
Напомним, что инцидент с Meta Pool стал частью более широкой волны атак на DeFi-протоколы. Биржа BitoPro (Тайвань) подтвердила потерю более $11,5 млн из-за взлома горячих кошельков 8 мая.
А 6 июня платформа Alex Protocol на основе блокчейна Stacks потеряла $8,3 млн из-за бага в механизме самостоятельного листинга активов.