Эксплойт Meta Pool: Как было создано mpETH на $27 млн, но украдено всего $132 тыс.

Понимание эксплойта Meta Pool: Что произошло?

17 июня 2025 года Meta Pool, мультичейн-протокол ликвидного стейкинга, работающий на Ethereum, стал жертвой эксплойта смарт-контракта. Злоумышленник использовал уязвимость функции стандарта ERC4626, чтобы создать 9,705 токенов mpETH на сумму около $27 миллионов без внесения какого-либо залога. Несмотря на масштаб эксплойта, хакеру удалось извлечь только 52.5 ETH (оцененных в $132,000) из-за низкой ликвидности в затронутых пулах.

Роль mpETH и быстрого анстейкинга в эксплойте

mpETH, ликвидный стейкинг-токен Meta Pool, предназначен для представления застейканного Ethereum, обеспечивая ликвидность и доходность. Эксплойт был направлен на функциональность протокола "быстрого анстейкинга", которая позволяет обходить обычный период ожидания для анстейкинга при определенных условиях. Этот механизм позволил злоумышленнику свободно создавать токены mpETH, используя критическую ошибку в контракте стейкинга.

Основные детали атаки

• Уязвимость: Функция стандарта ERC4626 позволяла несанкционированное создание токенов.

• Ограничения ликвидности: Низкая ликвидность в пулах обмена ограничила возможность хакера конвертировать mpETH в ETH.

• Затронутые пулы: Были затронуты пулы на Ethereum mainnet и Optimism, но низкая ликвидность минимизировала потери.

Раннее обнаружение и контроль ущерба

Системы раннего обнаружения Meta Pool сыграли ключевую роль в смягчении последствий атаки. После выявления подозрительной активности команда оперативно приостановила работу затронутого смарт-контракта, предотвратив дальнейшее несанкционированное создание токенов и дополнительные потери. Блокчейн-безопасностная фирма PeckShield подтвердила эксплойт и отметила, что низкая ликвидность mpETH ограничила прибыль хакера.

Официальная реакция

Meta Pool заверил пользователей, что весь застейканный Ethereum остается в безопасности, делегированный операторам SSV Network для валидации блоков и получения наград за стейкинг. Команда пообещала возместить убытки пострадавшим пользователям и проводит полный анализ инцидента, чтобы выявить первопричину и разработать план восстановления.

Широкие последствия для безопасности DeFi

Этот инцидент подчеркивает постоянные уязвимости в протоколах децентрализованных финансов (DeFi), особенно в механизмах создания токенов. Подобные эксплойты произошли и в других протоколах, таких как Four.Meme и Rari Capital, что указывает на необходимость тщательных аудитов и надежных мер безопасности.

Извлеченные уроки

• Аудиты смарт-контрактов: Комплексные аудиты необходимы для выявления и устранения уязвимостей до развертывания.

• Мониторинг в реальном времени: Системы обнаружения в реальном времени могут значительно снизить последствия эксплойтов.

• Управление ликвидностью: Обеспечение достаточной ликвидности в пулах может смягчить финансовый ущерб от атак.

Что дальше для Meta Pool?

Пока затронутый контракт mpETH остается приостановленным, Meta Pool планирует выпустить подробный отчет о произошедшем и план восстановления. Пользователям рекомендуется следить за официальными обновлениями и проявлять осторожность при взаимодействии с протоколом.

Часто задаваемые вопросы

Что такое mpETH?

mpETH — это ликвидный стейкинг-токен Meta Pool, представляющий застейканный Ethereum и обеспечивающий ликвидность и доходность.

Мой застейканный Ethereum в безопасности?

Да, Meta Pool подтвердил, что весь застейканный Ethereum находится в безопасности и продолжает приносить награды.

Что стало причиной эксплойта?

Эксплойт произошел из-за уязвимости функции стандарта ERC4626, которая позволяла несанкционированное создание токенов.

Будут ли пострадавшие пользователи возмещены?

Meta Pool обязался возместить пользователям активы, потерянные в результате инцидента.

Заключение

Эксплойт Meta Pool служит ярким напоминанием о важности безопасности в протоколах DeFi. Несмотря на ограниченный финансовый ущерб, инцидент подчеркивает необходимость постоянных аудитов, надежных систем мониторинга и проактивного управления ликвидностью. По мере развития пространства DeFi протоколы должны ставить безопасность пользователей и прозрачность в приоритет, чтобы поддерживать доверие и стимулировать принятие.