Фальшивые mpETH на $27 млн: как хакер попытался обмануть систему и что пошло не так

Что, если бы вы могли напечатать деньги из воздуха? Именно так почти поступил злоумышленник, воспользовавшись уязвимостью в стейкинг-контракте платформы Meta Pool. Эксперты PeckShield обнаружили, что баг позволял бесплатно выпускать токены mpETH, обеспеченные реальными Ethereum.

Что случилось?

Команда кибербезопасности PeckShield первой забила тревогу. В своём посте в X они сообщили о критической уязвимости в контракте mpETH, которая давала возможность неавторизованной чеканки токенов.

"Мы обнаружили подозрительную транзакцию, в которой неизвестный пользователь создал более 9700 mpETH (эквивалент ~$27 млн). Однако из-за низкой ликвидности хакер смог вывести лишь 10 ETH", — отметили в PeckShield.

Реакция Meta Pool

Разработчики Meta Pool оперативно отреагировали:

• Остановили работу уязвимого контракта.
• Начали расследование вектора атаки.
• Проверяют влияние на DEX и кроссчейн-протоколы.

Пока команда работает над исправлением, пользователям стоит быть осторожными с активами mpETH.

Как работает Meta Pool?

Платформа, управляемая DAO, предлагает ликвидный стейкинг для нескольких блокчейнов:

• NEAR
• Ethereum (ETH)
• Solana (SOL)
• Aurora (AURORA)
• Q

Пользователи блокируют свои монеты в стейкинге, получая взамен токены ликвидности (например, mpETH), которые можно использовать в DeFi для дополнительного заработка.

Интересный факт

Ликвидный стейкинг — один из самых быстрорастущих сегментов DeFi. Только в Ethereum за последний год сумма заблокированных в стейкинге средств выросла на 250%.