Seorang penggodam berjaya melarikan diri dengan hanya sekitar $132,000 daripada serangan mereka ke atas protokol mata wang kripto Meta Pool, yang mencipta token bernilai $27 juta yang mereka boleh curi. Serangan itu digagalkan oleh kecairan rendah dan jeda pada kontrak pintar yang dieksploitasi.
Penyerang itu dapat mencetak 9,705 token mpETH protokol staking cair yang bernilai hampir $27 juta, tetapi hanya berjaya mencuri sekitar 52.5 Ether (ETH), bernilai lebih $132,000 daripada kolam swap kecairan, menurut Meta Pool dalam catatan blog pada hari Selasa.
Ia menambah bahawa beberapa kolam yang terjejas mempunyai kecairan dan volum rendah, menjadikannya lebih sukar untuk serangan dijalankan, dan "sistem pengesanan awal" membantu pasukannya dengan cepat menjeda kontrak yang terjejas, mencegah "aktiviti tidak sah lanjut atau kerugian tambahan."
Penggodam mengeksploitasi fungsi “fast unstake”
Dalam catatan X pada hari Selasa, pengasas bersama Meta Pool, Encik Claudio Cossio mengatakan penggodam mengeksploitasi “fungsi fast unstake,” membolehkan mereka mencetak ribuan token mpETH.
Secara umumnya, selepas unstaking mata wang kripto, terdapat tempoh menunggu sebelum ia boleh dipindahkan; namun, dengan fast unstaking, juga dikenali sebagai flash unstaking, tempoh menunggu dibatalkan, dengan syarat syarat tertentu dipenuhi.
Firma keselamatan blockchain PeckShield menyiarkan ke X bahawa kontrak staking mempunyai “bug kritikal,” yang membolehkan penggodam mencetak mpETH secara percuma, tetapi “kecairan rendah mpETH mengehadkan keuntungan.”
Pasukan Meta Pool mengatakan bahawa serangan itu “melibatkan pencetakan token yang tidak sah melalui fungsi ERC4626 mint().”
Pengeksploitasi mengosongkan kolam swap
Selepas mencetak mpETH, pengeksploitasi menggunakan kebanyakannya untuk mengosongkan kolam swap sebanyak 52.5 ETH, menjejaskan beberapa kolam Ethereum mainnet dan Optimism.
Pasukan Meta Pool mengatakan, bagaimanapun, bahawa kolam Optimism yang terjejas mempunyai “kecairan dan volum rendah.”
“Perlu dijelaskan bahawa semua Ethereum yang di-stake adalah selamat, didelegasikan dalam operator Rangkaian SSV yang mengesahkan blok dan mengumpul ganjaran staking di mainnet Ethereum,” kata pasukan Meta Pool.
Post-mortem penuh insiden ini dijangka dalam dua hari akan datang, bersama dengan pelan pemulihan, menurut pasukan Meta Pool. Sementara itu, kontrak mpETH yang terjejas akan kekal dijeda sementara siasatan diteruskan.
Berkaitan: $2.1B mata wang kripto dicuri pada 2025 apabila penggodam beralih fokus dari kod ke pengguna: CertiK
Meta Pool berjanji untuk “mengganti rugi aset yang hilang akibat insiden ini” dan memastikan pengguna “dipulihkan sepenuhnya.”
Protokol mata wang kripto terkena eksploitasi
Alex Protocol, platform kewangan terdesentralisasi Bitcoin di blockchain Stacks, mengalami eksploitasi pada 6 Jun, dengan kerugian $8.3 juta selepas pelaku jahat menggunakan kelemahan dalam logik pengesahan senarai sendiri untuk mengosongkan kecairan dari beberapa kolam aset.
Sementara itu, bursa mata wang kripto yang berpangkalan di Taiwan, BitoPro mengesahkan pada 2 Jun bahawa pelanggaran keselamatan menyebabkan kehilangan lebih $11.5 juta dalam aset dari dompet panasnya pada 8 Mei.
Majalah: China untuk melarang pemilikan Bitcoin? Gate.io untuk membayar $30M atas likuidasi: Asia Express