Giao thức liquid staking Meta Pool bị tấn công 27 triệu USD

Meta Pool vừa hứng chịu một vụ tấn công hợp đồng staking. Hacker đã mint ra 27 triệu USD mpETH, song chỉ rút được 25.000 USD.

Giao thức liquid staking Meta Pool bị tấn công 27 triệu USD. Ảnh: Meta Pool

Meta Pool – một giao thức liquid staking đa chuỗi – vừa ghi tên mình vào danh sách những nạn nhân mới nhất trong làn sóng tấn công DeFi. Hacker đã mint ra lượng token trị giá lên tới 27 triệu USD, song chỉ rút đi khoảng 25.000 USD trước khi vướng phải "bức tường thanh khoản".

Attention Community,

We would like to inform you that earlier today an attack was detected on the mpETH contract on Ethereum, which resulted in the unauthorized minting of tokens via the mint() function. We are reviewing the impact on the different DEXs and the OP bridge.…

— Meta Pool (@meta_pool) June 17, 2025

Theo nền tảng bảo mật blockchain PeckShield, vụ việc bắt nguồn từ một bug trong hợp đồng staking của Meta Pool, tạo kẽ hở cho hacker tự do mint mpETH, token đại diện cho ETH đã stake trên nền tảng. Với thủ đoạn này, kẻ tấn công đã tạo ra 9.700 mpETH, trị giá 27 triệu USD tính theo tỷ giá 1:1 với ETH.

Our analysis shows that the @meta_pool staking contract has a critical bug that allows for free mint of mpETH.

This specific tx freely mints 9700+ mpETH ($27m), but the low-liquidity of mpETH limits the profit to ~10 ETH. https://t.co/5quBgM6JyP pic.twitter.com/IE9p8UEMXP

— PeckShield Inc. (@peckshield) June 17, 2025

Tuy nhiên, vì thanh khoản trên Uniswap quá thấp, chúng chỉ có thể swap được 10 ETH, tương đương 25.000 USD, một con số quá nhỏ so với lượng tài sản bị mint bất hợp pháp.

Một chi tiết bất ngờ được phát hiện trên Etherscan, trước khi vụ tấn công xảy ra, một địa chỉ có nhãn “MEV Frontrunner Yoink” đã rút 90 ETH thanh khoản khỏi pool, khiến thanh khoản mpETH càng thấp hơn nữa.

Động thái này làm dấy lên nghi vấn liệu đây có phải là một hành động “frontrun” có chủ đích, hay chỉ là một người dùng phát hiện bất thường và hành động trước để giảm thiểu rủi ro?

Sau nhiều giờ im lặng, Meta Pool đã đưa ra phản hồi trên X, xác nhận sự cố và nêu rõ định hướng xử lý. Dự án cam kết sẽ hoàn trả toàn bộ tài sản bị thất thoát cho người dùng.

Đội ngũ thông báo hợp đồng mpETH sẽ tiếp tục bị tạm dừng trong khi điều tra và triển khai biện pháp khắc phục. 

Meta Pool Security Incident Report: mpETH Contract on Ethereum & Next Steps

We’ve published a full update on the recent incident involving the mpETH contract on Ethereum, including actions taken and what comes next.

Read more:https://t.co/qSSjfpqXAZ

— Meta Pool (@meta_pool) June 17, 2025

Theo dữ liệu từ DefiLlama, tổng giá trị bị khóa (TVL) trên Meta Pool vẫn giữ ổn định ở mức 72,8 triệu USD, cho thấy phần lớn người dùng chưa rút tài sản hoặc tài sản thật chưa bị ảnh hưởng trực tiếp.

Biến động TVL của nền tảng Meta Pool. Nguồn: DefiLIama (18/06/2025)

Tuy nhiên, token quản trị MPDAO hiện đang giao dịch ở mức 0,024 USD, với khối lượng giao dịch cực kỳ thấp.

Biến động giá token MPDAO trên toàn thời gian. Ảnh: CoinGecko (09:15 AM ngày 18/06/2025)

Vụ Meta Pool tiếp tục góp mặt vào làn sóng các cuộc tấn công DeFi. Theo thống kê từ CertiK, chỉ trong tháng 05/2025, thị trường đã chứng kiến thiệt hại hơn 302 triệu USD từ các vụ hack, scam và exploit.

#CertiKStatsAlert 🚨

Combining all the incidents in May we’ve confirmed ~$140.1M lost to exploits, hacks and scams after ~$162m was frozen.

~$8.5M of the total is attributed to phishing.

More details below 👇 pic.twitter.com/LTE6axKeGi

— CertiK Alert (@CertiKAlert) June 2, 2025

Coin68 tổng hợp