O protocolo de liquid staking Meta Pool foi alvo de um ataque hacker explorando uma vulnerabilidade em seu contrato inteligente. Nesta terça-feira (17), um hacker teria conseguido cunhar US$ 27 milhões em tokens do protocolo, sem precisar fazer staking da moeda correspondente.
O montante representa cerca de 30% de todo o volume disponível dentro do Meta Pool, um protocolo de staking líquido. Ele permite que investidores façam staking de suas criptomoedas e recebam tokens líquidos em troca. Esses tokens são utilizados em outras aplicações DeFi (Finanças Descentralizadas). Enquanto isso, as criptomoedas ficam bloqueadas em staking, rendendo para o investidor.
No caso do exploit, o hacker descobriu como ganhar tokens líquidos de Ethereum sem a necessidade de fazer staking de ETH no protocolo. Embora o hacker tenha cunhado cerca de US$ 27 milhões em tokens, a liquidez extremamente baixa na pool da Uniswap restringiu sua capacidade de conversão para apenas 10 ETH (aproximadamente US$ 25.000).
O caso veio a público após o perfil da PeckShield, uma empresa de segurança em blockchain, no X noticiar o bug e a cunhagem pirata. De acordo com eles, o bug no protocolo permitiu que o invasor cunhasse tokens mpETH ilimitadamente.
Embora o invasor tenha cunhado mais de US$ 27 milhões em mpETH — versão líquida do Ethereum distribuída pelo Meta Pool aos usuários que fazem staking de seus Ethereum no protocolo — o prejuízo para o protocolo foi de apenas US$ 25 mil.
Confira nossas sugestões de Pre-Sales para investir agora
Isso porque, não havia tantos compradores interessados em comprar mpETH na Uniswap, exchange descentralizada utilizada para negociação das versões líquidas dos tokens da Meta Pool. Além disso, o PeckShield compartilhou a informação de que, minutos antes do ataque, uma transação identificada como “MEV Frontrunner Yoink” removeu 90 ETH de liquidez da pool, o que pode ter contribuído para a limitação do prejuízo.
Resposta da Meta Pool
A equipe do Meta Pool pausou o contrato assim que o ataque foi detectado, evitando danos maiores. Em comunicado no X, o protocolo afirmou:
“Atenção, Comunidade! Gostaríamos de informar que hoje cedo foi detectado um ataque ao contrato mpETH no Ethereum, que resultou na cunhagem não autorizada de tokens por meio da função mint(). Estamos revisando o impacto nas diferentes DEXs e na ponte OP. Graças à detecção precoce, o contrato foi imediatamente pausado pela equipe fundadora, evitando maiores danos”
Além disso, eles destacaram que após a verificação do ocorrido, será preparado um plano de ação a ser enviado para a comunidade.
De acordo com dados do CoinGecko, o TVL (Total Value Locked) do Meta Pool permanece em US$ 75 milhões, enquanto seu token de governança, MPDAO, utilizado para pagamento de taxas dentro do protocolo, opera em baixa de 4,2%, sendo negociado a S$ 0.023.
