Un hacker logró escapar con solo cerca de 132.000 dólares de su ataque al protocolo de criptomonedas Meta Pool, que creó tokens por valor de 27 millones de dólares que podría haber robado. El ataque fue frustrado por la baja liquidez y el congelamiento del contrato inteligente afectado.
El atacante pudo acuñar 9.705 tokens mpETH del protocolo de staking líquido, con un valor de casi 27 millones de dólares, pero solo logró robar alrededor de 52,5 Ether (ETH), valorados en poco más de 132.000 dólares de los pools de swap de liquidez, según dijo Meta Pool en una publicación de blog el martes.
Agregó que algunos de los pools afectados tenían baja liquidez y volúmenes, lo que dificultó la ejecución del ataque, y sus “sistemas de detección temprana” ayudaron a su equipo a pausar rápidamente el contrato afectado, evitando “actividad no autorizada adicional o pérdidas adicionales”.
El hacker aprovechó la función de “desbloqueo rápido”
En una publicación en X el martes, el cofundador de Meta Pool, Claudio Cossio, dijo que el hacker explotó una “funcionalidad de desbloqueo rápido”, permitiéndole acuñar miles de tokens mpETH.
Generalmente, tras el desbloqueo de criptomonedas, hay un período de espera antes de que se vuelvan transferibles; sin embargo, con el desbloqueo rápido, también conocido como flash unstaking, el período de espera se anula, siempre que se cumplan condiciones específicas.
La firma de seguridad de blockchain PeckShield publicó en X que el contrato de staking tenía un “error crítico,” que permitió al hacker acuñar mpETH gratis, pero la “baja liquidez de mpETH limitó las ganancias”.
El equipo de Meta Pool dijo que el ataque “involucró la acuñación no autorizada de tokens a través de la función mint() de ERC4626”.
El hacker drenó los pools de swap de liquidez
Tras acuñar los mpETH, el hacker usó la mayoría de ellos para drenar los pools de swaps de 52,5 ETH, afectando varios pools en la red principal de Ethereum y Optimism.
Sin embargo, el equipo de Meta Pool dijo que un pool de Optimism afectado tenía “baja liquidez y volumen”.
“Es necesario aclarar que todo el Ethereum en staking está seguro, delegado en los operadores de la red SSV que están validando bloques y acumulando recompensas de staking en la red principal de Ethereum”, dijo el equipo de Meta Pool.
Se espera un análisis completo del incidente en los próximos dos días, junto con un plan de recuperación, según el equipo de Meta Pool. Mientras tanto, el contrato mpETH afectado permanecerá pausado mientras continúa la investigación.
Meta Pool prometió “reembolsar los activos perdidos por este incidente” y asegurar que los usuarios “sean compensados íntegramente”.
Protocolos de criptomonedas afectados por exploits
Alex Protocol, una plataforma de finanzas descentralizadas de Bitcoin en la blockchain Stacks, sufrió un exploit el 6 de junio, con pérdidas de 8,3 millones de dólares después de que un actor malicioso usara una falla en la lógica de verificación de autolisting para drenar liquidez de varios pools de activos.
Mientras tanto, el exchange de criptomonedas con sede en Taiwán, BitoPro, confirmó el 2 de junio que un incidente de seguridad llevó a la pérdida de más de 11,5 millones de dólares en activos de sus billeteras calientes el 8 de mayo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
