Một hacker đã tấn công giao thức staking Meta Pool và tạo ra lượng token trị giá gần 27 triệu USD, nhưng cuối cùng chỉ đánh cắp được khoảng 132.000 USD do tính thanh khoản thấp và hợp đồng thông minh bị tạm dừng kịp thời.
Theo bài đăng trên blog ngày 17/6, hacker đã khai thác một lỗ hổng trong tính năng unstake nhanh (fast unstake) để mint 9.705 token mpETH—token của Meta Pool—với tổng giá trị ước tính khoảng 27 triệu USD. Tuy nhiên, do thiếu thanh khoản tại các pool hoán đổi, kẻ tấn công chỉ rút được khoảng 52,5 ETH, tương đương hơn 132.000 USD.
Meta Pool cho biết một số pool bị ảnh hưởng có khối lượng giao dịch thấp, gây khó khăn cho việc chuyển đổi mpETH sang tài sản khác. Hệ thống cảnh báo sớm đã giúp đội ngũ phát hiện và tạm dừng hợp đồng thông minh bị khai thác, ngăn chặn thêm tổn thất.
Theo đồng sáng lập Claudio Cossio, hacker đã lợi dụng chức năng unstake nhanh—một cơ chế cho phép bỏ qua thời gian chờ sau khi unstake, nếu đáp ứng một số điều kiện nhất định—để tạo ra hàng nghìn mpETH.
Công ty bảo mật blockchain PeckShield xác nhận hợp đồng staking của Meta Pool chứa “lỗi nghiêm trọng”, cho phép mint mpETH mà không cần thế chấp, nhưng do thanh khoản thấp, hacker không thể kiếm lợi nhuận lớn.
Sau khi mint token, kẻ tấn công đã dùng số mpETH đó để rút thanh khoản khỏi các pool hoán đổi trên Ethereum Mainnet và Optimism, lấy đi tổng cộng 52,5 ETH. Tuy nhiên, Meta Pool nhấn mạnh rằng pool trên Optimism có “thanh khoản và khối lượng giao dịch rất thấp”.
Meta Pool cũng khẳng định toàn bộ lượng Ethereum được staking vẫn an toàn, vì đang được ủy quyền cho các nhà vận hành mạng SSV, nơi tiếp tục xác thực giao dịch và tạo phần thưởng staking trên Ethereum Mainnet.
Đội ngũ Meta Pool cho biết họ sẽ công bố báo cáo đầy đủ về sự cố trong vòng 2 ngày tới, kèm theo kế hoạch khôi phục. Trong thời gian chờ điều tra, hợp đồng liên quan đến mpETH sẽ tiếp tục bị tạm dừng.
Ngoài ra, Meta Pool cam kết sẽ hoàn trả tài sản bị mất cho người dùng và đảm bảo tất cả người dùng đều được bồi thường đầy đủ.
Các vụ tấn công DeFi gần đây
Trong năm 2025, các vụ hack crypto đã gây thiệt hại hơn 2,1 tỷ USD, theo báo cáo từ CertiK, với xu hướng chuyển từ khai thác mã sang tấn công người dùng.
Thạch Sanh
Theo Tapchibitcoin
