Tiếng Việt
English
Meta Pool bị khai thác hợp đồng thông minh, hacker tạo ra 27 triệu USD mpETH
Attention Community,
— Meta Pool (@meta_pool) June 17, 2025
We would like to inform you that earlier today an attack was detected on the mpETH contract on Ethereum, which resulted in the unauthorized minting of tokens via the mint() function. We are reviewing the impact on the different DEXs and the OP bridge.…
Giao thức liquid staking đa chuỗi Meta Pool vừa trở thành mục tiêu của một cuộc tấn công vào hợp đồng staking. Theo nền tảng bảo mật blockchain PeckShield, nguyên nhân được xác định là do một lỗi trong logic hợp đồng staking, cho phép hacker tạo ra mpETH mà không cần nạp ETH thật. mpETH là token đại diện cho lượng ETH đã stake trên nền tảng, do đó lỗ hổng này khiến Meta Pool bị phá vỡ mô hình peg 1:1 giữa tài sản thật và tài sản đại diện.
Với thủ đoạn này, kẻ tấn công đã tạo ra 9.700 mpETH, trị giá 27 triệu USD tính theo tỷ giá 1:1 với ETH. Tuy nhiên, do thanh khoản trên Uniswap quá thấp, hacker chỉ có thể hoán đổi thành công khoảng 10 ETH, tương đương 25.000 USD, trước khi bị kẹt lệnh vì pool không còn đủ thanh khoản.
Our analysis shows that the @meta_pool staking contract has a critical bug that allows for free mint of mpETH.
— PeckShield Inc. (@peckshield) June 17, 2025
This specific tx freely mints 9700+ mpETH ($27m), but the low-liquidity of mpETH limits the profit to ~10 ETH. https://t.co/5quBgM6JyP pic.twitter.com/IE9p8UEMXP
Thanh khoản cạn kiệt, hacker không thể rút thêm tài sản
Bất chấp việc mint ra lượng token rất lớn, hacker chỉ thực sự rút được một phần nhỏ vì gặp phải "bức tường thanh khoản". Trước khi vụ tấn công diễn ra, một ví mang nhãn “MEV Frontrunner Yoink” trên Etherscan đã rút 90 ETH khỏi pool, làm giảm mạnh khả năng hoán đổi mpETH.
Việc rút thanh khoản trước thời điểm tấn công đặt ra nghi vấn: liệu đây có phải là một bước đi có chủ đích trong kế hoạch exploit, hay chỉ là phản ứng sớm từ một người phát hiện bất thường?
Meta Pool phản hồi và cam kết bồi thường
Sau nhiều giờ im lặng, Meta Pool đã chính thức xác nhận sự cố trên nền tảng X. Dự án tuyên bố sẽ hoàn trả toàn bộ thiệt hại cho người dùng và đang tích cực phối hợp với các bên thứ ba để kiểm tra toàn bộ hệ thống.
Hiện tại, hợp đồng mpETH đã bị tạm dừng để điều tra. Đội ngũ kỹ thuật của dự án cho biết họ sẽ triển khai biện pháp vá lỗi và nâng cao cơ chế bảo mật hợp đồng staking trong thời gian tới.
Dữ liệu từ DefiLlama cho thấy tổng giá trị bị khóa (TVL) trên Meta Pool hiện vẫn ở mức khoảng 72,8 triệu USD – cho thấy phần lớn tài sản người dùng chưa bị ảnh hưởng trực tiếp hoặc chưa xảy ra làn sóng rút vốn.
Tuy vậy, token quản trị MPDAO đã giảm về mức 0,024 USD và ghi nhận khối lượng giao dịch thấp. Tâm lý nhà đầu tư hiện đang ở trạng thái lo lắng và thận trọng, chờ động thái tiếp theo từ đội ngũ dự án.
DeFi tiếp tục là “điểm nóng” tấn công năm 2025
Sự cố của Meta Pool tiếp tục nối dài danh sách các vụ tấn công nhắm vào DeFi trong năm 2025. Theo báo cáo của CertiK, chỉ riêng trong tháng 05, thị trường đã thiệt hại hơn 302 triệu USD bởi các cuộc hack, scam và exploit.
Đây là lời nhắc nhở mạnh mẽ rằng dù công nghệ blockchain phát triển nhanh chóng, hệ sinh thái DeFi vẫn tồn tại nhiều rủi ro lớn nếu thiếu kiểm toán độc lập và hệ thống bảo mật chặt chẽ.
Kết luận
Dù thiệt hại thực tế trong vụ exploit của Meta Pool là không lớn nhờ cơ chế thị trường hạn chế thanh khoản, sự cố vẫn cho thấy những lỗ hổng tiềm tàng trong hệ thống staking hiện nay. Đây cũng là lời nhắc nhở về tầm quan trọng của việc kiểm toán hợp đồng kỹ lưỡng, đặc biệt với các giao thức nắm giữ tài sản người dùng.
Đọc thêm:
_thumb_720.jpg)
