Експлойт Meta Pool: Як було створено mpETH на $27 млн, але викрадено лише $132 тис.

Розуміння експлойту Meta Pool: Що сталося?

17 червня 2025 року Meta Pool, мульти-чейн протокол ліквідного стейкінгу, що працює на Ethereum, став жертвою експлойту смарт-контракту. Зловмисник скористався вразливістю функції ERC4626 , щоб створити 9,705 токенів mpETH на суму приблизно $27 мільйонів без внесення будь-якого забезпечення. Незважаючи на масштаб експлойту, хакеру вдалося вилучити лише 52.5 ETH (вартістю $132,000) через низьку ліквідність у постраждалих пулах.

Роль mpETH і швидкого анстейкінгу в експлойті

mpETH, ліквідний стейкінг-токен Meta Pool, призначений для представлення застейканого Ethereum, забезпечуючи ліквідність і дохідність. Експлойт був спрямований на функціонал протоколу "швидкий анстейкінг", який обходить типовий період очікування для анстейкінгу за певних умов. Цей механізм дозволив зловмиснику вільно створювати токени mpETH, використовуючи критичну помилку в контракті стейкінгу.

Основні деталі атаки

• Вразливість: Функція ERC4626 дозволяла несанкціоноване створення токенів.

• Обмеження ліквідності: Низька ліквідність у пулах обмежила здатність хакера конвертувати mpETH у ETH.

• Постраждалі пули: Пули на Ethereum mainnet і Optimism були уражені, але низька ліквідність мінімізувала втрати.

Раннє виявлення та контроль збитків

Системи раннього виявлення Meta Pool відіграли ключову роль у пом'якшенні наслідків атаки. Після виявлення підозрілої активності команда оперативно призупинила роботу постраждалого смарт-контракту, запобігаючи подальшому несанкціонованому створенню токенів і додатковим втратам. Блокчейн-компанія з безпеки PeckShield підтвердила експлойт і зазначила, що низька ліквідність mpETH обмежила прибуток хакера.

Офіційна реакція

Meta Pool запевнила користувачів, що весь застейканий Ethereum залишається безпечним, делегованим операторам SSV Network для валідації блоків і отримання винагород за стейкінг. Команда пообіцяла компенсувати постраждалим користувачам і проводить повний аналіз інциденту, щоб визначити першопричину та реалізувати план відновлення.

Ширші наслідки для безпеки DeFi

Цей інцидент підкреслює постійні вразливості в протоколах децентралізованих фінансів (DeFi), особливо в механізмах створення токенів. Подібні експлойти траплялися в інших протоколах, таких як Four.Meme і Rari Capital, що наголошує на необхідності ретельних аудитів і надійних заходів безпеки.

Уроки, які варто засвоїти

• Аудити смарт-контрактів: Комплексні аудити є важливими для виявлення та усунення вразливостей перед розгортанням.

• Моніторинг у реальному часі: Системи виявлення в реальному часі можуть значно зменшити вплив експлойтів.

• Управління ліквідністю: Забезпечення достатньої ліквідності в пулах може зменшити фінансові збитки від атак.

Що далі для Meta Pool?

Поки постраждалий контракт mpETH залишається призупиненим, Meta Pool очікує випустити детальний звіт про інцидент і план відновлення. Користувачам рекомендується стежити за офіційними оновленнями та бути обережними при взаємодії з протоколом.

Часті запитання

Що таке mpETH?

mpETH — це ліквідний стейкінг-токен Meta Pool, який представляє застейканий Ethereum, забезпечуючи ліквідність і дохідність.

Чи безпечний мій застейканий Ethereum?

Так, Meta Pool підтвердила, що весь застейканий Ethereum є безпечним і продовжує приносити винагороди.

Що спричинило експлойт?

Експлойт стався через вразливість функції ERC4626 , яка дозволяла несанкціоноване створення токенів.

Чи будуть компенсовані постраждалі користувачі?

Meta Pool пообіцяла компенсувати користувачам активи, втрачені внаслідок інциденту.

Висновок

Експлойт Meta Pool слугує суворим нагадуванням про важливість безпеки в протоколах DeFi. Хоча фінансовий вплив був обмеженим, інцидент підкреслює необхідність постійних аудитів, надійних систем моніторингу та проактивного управління ліквідністю. У міру розвитку простору DeFi протоколи повинні пріоритизувати безпеку користувачів і прозорість, щоб підтримувати довіру та стимулювати впровадження.