一名黑客在对加密协议Meta Pool发起攻击时,尽管创建了价值高达2700万美元的可被盗代币,却仅成功窃取了约13.2万美元。这次攻击因流动性不足和对被攻击智能合约的及时暂停而未能达到预期目的。
Meta Pool在周二发布的博客文章中指出,攻击者成功铸造了9,705枚该流动性质押协议的mpETH代币,总价值接近2700万美元,但从流动性交换池中仅窃取了约52.5枚以太币(ETH),价值略高于13.2万美元。
该协议进一步解释称,部分受影响的资金池由于流动性和交易量较低,使得攻击难以全面实施,同时其"早期检测系统"帮助团队快速暂停了受影响的合约,有效防止了"进一步的未授权活动或额外损失"。
黑客利用"快速解质押"功能
Meta Pool联合创始人Claudio Cossio在周二的X平台帖子中表示:"黑客利用了'快速解质押功能'漏洞,这使他们能够铸造数千枚mpETH代币。"
通常情况下,加密货币解质押后需要经过一段等待期才能进行转移;然而,通过快速解质押(也称为闪电解质押)技术,在满足特定条件的情况下,这一等待期可以被绕过。
区块链安全公司PeckShield在X平台发文指出,该质押合约存在"严重漏洞",允许黑客免费铸造mpETH,但"mpETH的低流动性限制了攻击者能获取的利润"。
Meta Pool团队解释称,这次攻击"涉及通过ERC4626 mint()函数未经授权铸造代币"。
攻击者掏空交换池
在铸造mpETH后,攻击者利用这些代币的大部分从交换池中抽走了52.5枚ETH,影响了多个以太坊主网和Optimism池。
Meta Pool团队强调,一个受影响的Optimism池"流动性和交易量较低"。
"需要明确的是,所有质押的以太坊仍然安全,这些资产已委托给SSV网络运营商,目前正在以太坊主网上验证区块并累积质押奖励,"Meta Pool团队如此声明。
据Meta Pool团队透露,预计将在未来两天内发布事件的完整调查报告以及恢复计划。与此同时,受影响的mpETH合约将在调查期间继续保持暂停状态。
Meta Pool已承诺"将全额赔偿此次事件造成的资产损失"并确保所有用户"得到全额补偿"。
加密协议遭受攻击事件频发
比特币去中心化金融平台Alex Protocol(运行于Stacks区块链上)于6月6日遭受攻击,损失高达830万美元,攻击者利用自上线验证逻辑中的漏洞成功抽干了多个资产池的流动性。
同时,台湾地区加密货币交易所BitoPro于6月2日确认,5月8日发生的安全漏洞导致其热钱包资产损失超过1150万美元。