El protocolo de staking líquido Meta Pool fue víctima de un ataque hacker que aprovechó una vulnerabilidad en su contrato inteligente. Este martes (17), un hacker logró acuñar US$ 27 millones en tokens del protocolo, sin necesidad de hacer staking de la criptomoneda correspondiente.
El monto representa aproximadamente el 30% de todo el volumen disponible dentro de Meta Pool, un protocolo de staking líquido. Este permite que los inversionistas hagan staking de sus criptomonedas y reciban tokens líquidos a cambio. Estos tokens se utilizan en otras aplicaciones DeFi (Finanzas Descentralizadas), mientras que las criptomonedas permanecen bloqueadas en staking, generando ganancias para el inversionista.
En este exploit, el hacker descubrió cómo obtener tokens líquidos de Ethereum sin la necesidad de hacer staking de ETH en el protocolo. Aunque el hacker acuñó alrededor de US$ 27 millones en tokens, la liquidez extremadamente baja en el pool de Uniswap limitó su capacidad de conversión a solo 10 ETH (aproximadamente US$ 25,000).
El caso se hizo público después de que el perfil de PeckShield, una empresa de seguridad en blockchain, en X informara sobre el bug y la acuñación pirata. Según ellos, el bug en el protocolo permitió que el invasor acuñara tokens mpETH ilimitadamente.
Aunque el invasor acuñó más de US$ 27 millones en mpETH —versión líquida de Ethereum distribuida por Meta Pool a los usuarios que hacen staking de su Ethereum en el protocolo— la pérdida para el protocolo fue de solo US$ 25,000.
Esto se debe a que no había suficientes compradores interesados en comprar mpETH en Uniswap, el exchange descentralizado utilizado para la negociación de las versiones líquidas de los tokens de Meta Pool. Además, PeckShield compartió la información de que, minutos antes del ataque, una transacción identificada como «MEV Frontrunner Yoink» retiró 90 ETH de liquidez del pool, lo que pudo haber contribuido a limitar las pérdidas.
Lee también: ¿El fin de las memecoins en Solana? Elon Musk tumba Pump.fun — Mira las mejores oportunidades en Ethereum
Respuesta de Meta Pool
El equipo de Meta Pool pausó el contrato tan pronto como se detectó el ataque, evitando mayores daños. En un comunicado en X, el protocolo afirmó:
«¡Atención, Comunidad! Queremos informar que esta mañana se detectó un ataque al contrato mpETH en Ethereum, lo que resultó en la acuñación no autorizada de tokens a través de la función mint(). Estamos revisando el impacto en las diferentes DEXs y en el puente OP. Gracias a la detección temprana, el contrato fue pausado de inmediato por el equipo fundador, evitando mayores daños.»
Además, destacaron que, después de la verificación del incidente, se preparará un plan de acción para ser enviado a la comunidad.
Según datos de CoinGecko, el TVL (Valor Total Bloqueado) de Meta Pool sigue en US$ 75 millones, mientras que su token de gobernanza, MPDAO, utilizado para el pago de tarifas dentro del protocolo, opera a la baja en un 4.2%, negociándose a S$ 0.023.
- Lee también: Solana y otros 4 criptoactivos a seguir esta semana
