V dramatickom incidente zo 16. júna 2025 sa stakingový protokol Meta Pool stal terčom exploitu, ktorý mohol viesť k strate desiatok miliónov dolárov. Napriek tomu si útočník odniesol iba približne 132 000 dolárov. Tím rýchlo zareagoval a sľubuje plnú kompenzáciu. Čo sa stalo? Meta Pool, ktorý umožňuje staking ETH a vydáva derivát mpETH, sa stal […]
Menej ako 1 min. min.
V dramatickom incidente zo 16. júna 2025 sa stakingový protokol Meta Pool stal terčom exploitu, ktorý mohol viesť k strate desiatok miliónov dolárov. Napriek tomu si útočník odniesol iba približne 132 000 dolárov. Tím rýchlo zareagoval a sľubuje plnú kompenzáciu.
Čo sa stalo?
Meta Pool, ktorý umožňuje staking ETH a vydáva derivát mpETH, sa stal cieľom sofistikovaného útoku. Exploit sa zameral na chybnú implementáciu funkcie flash unstaking, konkrétne v kombinácii s metódou mint() podľa štandardu ERC-4626.
Útočník dokázal vytvoriť 9 705 mpETH tokenov bez vkladu, čo predstavovalo teoretickú hodnotu viac ako 27 miliónov dolárov. Následne sa ich pokúsil vymeniť za reálne aktíva v rámci dostupných swapovacích fondov.
Útočník získal len minimum
Napriek rozsahu potenciálnej škody sa útočníkovi podarilo odčerpať len 52,5 ETH v hodnote približne 132 000 USD. Dôvodom bola:
- nízka likvidita swapovacích fondov, najmä na Optimism a mainnete,
- rýchla reakcia vývojárov, ktorí včas pozastavili zasiahnutý kontrakt.
Spoločnosť zabezpečila, že všetky vsadené ETH sú bezpečné a staking pokračuje bez prerušenia.
Technické pozadie útoku
Chyba spočívala v interakcii medzi:
- neštandardnou implementáciou funkcie
mint()pre mpETH, - a systémom flash unstakingu.
V dôsledku toho bolo možné vytvárať nové mpETH bez skutočného ETH vkladu, čím sa porušila logika stakingového protokolu.
Podľa audítorskej firmy PeckShield:
„Exploit cielil na chybnú integráciu ERC4626 a umožnil zadarmo raziť tokeny, ktoré mohli byť následne premenené cez swap.“
Reakcia tímu Meta Pool
Tím zareagoval promptne a v priebehu niekoľkých minút po začiatku útoku:
- deaktivoval zasiahnutý kontrakt,
- aktivoval interný systém včasného varovania,
- a oznámil používateľom stav incidentu cez sociálne siete.
Zároveň potvrdil, že:
- všetky používateľské vklady (ETH) sú neporušené,
- staking operuje cez SSV Node Operators bez výpadku,
- a bude nasledovať plná kompenzácia strát tam, kde to bude potrebné.
Meta Pool plánuje zverejniť podrobnú post-mortem správu do 48 hodín.
Výkon tokenu a reakcia trhu
Napriek technickému incidentu nebol zaznamenaný výrazný pokles ceny mpETH, keďže:
- straty sa netýkali reálnych aktív,
- a dôvera voči protokolu ostala relatívne stabilná.
Trh ocenil najmä transparentnosť a rýchlu reakciu tímu. Exploit sa tak stáva učebnicovým príkladom dobre zvládnutej krízy v DeFi prostredí.
Čo to znamená pre stakingový ekosystém?
Incident ukazuje dve kľúčové veci:
- Aj auditované protokoly môžu zlyhať pri komplexnej interoperabilite.
- Rýchla reakcia, nízka likvidita a bezpečnostné mechanizmy môžu výrazne zmierniť škody.
Meta Pool prešiel auditom, no chyba vznikla na hranici štandardov (ERC-4626) a vlastných logík. Podobné incidenty zdôrazňujú potrebu neustáleho monitorovania, simulácií a včasnej detekcie podozrivého správania.
Záver
Útok na Meta Pool mal potenciál spôsobiť výrazné straty, no vďaka rýchlej reakcii a štruktúre protokolu ostali používatelia ochránení. Tento prípad sa tak stáva príkladom, ako zvládnuť incidenty v stakingovej infraštruktúre bez straty dôvery.
Ako poznamenal jeden komentátor na sociálnej sieti X:
„Hackeri dnes musia nielen nájsť chybu, ale aj dúfať, že likvidita bude stačiť. Meta Pool im dnes tú šancu nedal.“
Príspevok Meta Pool čelil útoku za 27 miliónov dolárov je zobrazený ako prvý na Kryptoblog24.
