" Meta Pool сообщил, что его система раннего обнаружения помогла остановить хакера, который смог создать токены mpETH стоимостью около $27 млн, но унес с собой менее $132 тыс в ETH из-за низкой ликвидности пулов и быстрого отключения уязвимого контракта.
Протокол заявил во вторничном посте блога, что злоумышленник сумел отчеканить 9705 токенов mpETH , используя уязвимость, но смог вывести только 52,5 ETH (примерно $132 000 ) через пулы обмена ликвидностью.
Некоторые из затронутых пулов имели низкую ликвидность и объем, что ограничило масштаб ущерба, а также позволило команде Meta Pool оперативно приостановить эксплуатируемый смарт-контракт и предотвратить дальнейшие потери.
Источник: Meta Pool.
Хакер использовал функцию «быстрого снятия со стекинга»
В посте X соучредитель Meta Pool Клаудио Коссио объяснил, что злоумышленник применил эксплоит к функции «быстрого снятия со стекинга», которая позволяет пользователям выводить средства немедленно при определённых условиях.
«Быстрое снятие со стекинга» обычно требует проверки доступной ликвидности перед выпуском токена. Однако хакер нашёл способ обойти это правило.
Платформа PeckShield сообщила в своём посте X, что уязвимость в контракте позволяла выпускать mpETH без обеспечения, что делает её «критическим багом». При этом ограниченная ликвидность mpETH не дала злоумышленнику получить больше.
Источник: Клаудио Коссио.
Хакер опустошил пулы обмена
После выпуска поддельных токенов злоумышленник направил их в пулы обмена на нескольких сетях Ethereum и Optimism, чтобы провести распродажу.
Это привело к тому, что он получил 52,5 ETH (около $132 000) в результате манипуляций с ценой в пулах.
Однако команда Meta Pool заявила, что весь размещенный в стекинге Ethereum остаётся в безопасности, поскольку он делегирован валидаторам SSV, которые продолжают верифицировать блоки и получать вознаграждения в основной сети.
Расследование продолжается
Meta Pool сообщила, что через два дня будет представлен полный разбор инцидента и план восстановления. Затронутый контракт mpETH останется заблокированным до завершения расследования.
Команда также пообещала компенсировать потерянные активы и гарантировать, что все пользователи будут возмещены.
Какие еще криптопротоколы подверглись атакам
Ранее, 6 июня, DeFi-платформа Alex Protocol, работающая на блокчейне Stacks, сообщила о крахе системы после того, как злоумышленник использовал ошибку в логике самостоятельного листинга, чтобы украсть $8,3 млн из пулов ликвидности.
Тем временем тайваньская криптобиржа BitoPro подтвердила, что 2 июня произошел инцидент безопасности, приведший к утрате более $11,5 млн цифровых активов из горячих кошельков ещё 8 мая.
