O protocolo de liquidez que a Metapool está sofrendo de hortelã fraudulenta e explorações de contrato que levaram a perdas de mais de US $ 133.000.
De acordo com uma postagem no blog em 17 de junho, a Metapool conseguiu conter o incidente antes que outros danos ocorram.
Segundo a equipe, o ataque foi identificado através do apoio do “sistema de detecção precoce” e da empresa de segurança blockchain BlockSec, que ajudou a responder e suspender o contrato do MPETH rapidamente para impedir “atividades não autorizadas ou perdas adicionais”.
A equipe de Metapool disse que o incidente foi atribuído a uma vulnerabilidade na função ERC4626 Mint () no contrato MPETH.
Em outro X-post, o co-fundador da Metapool, Claudio Cossio, sugeriu que o invasor possa ter ignorado períodos típicos não relacionados e explorou os recursos rápidos do protocolo para ignorar o Mint Mpeth sem deposição secundária.
O atacante conseguiu usar as falhas do protocolo no contrato de apostas líquidas baseadas em Ethereum para criar um token de 9.705 Mpeth, avaliado em aproximadamente US $ 27 milhões. No entanto, devido à liquidez limitada no pool afetado, a exploração só pôde converter tokens para 52,5 ETH, avaliados em cerca de US $ 133.000 ao seu preço atual.
Os fundos roubados foram descarregados de pools de troca na rede principal Ethereum e na rede da camada 2, incluindo otimismo.
Segundo a Metapool, o pool Uniswap representou apenas 37,5 ETH em perdas, acrescentando que “a maior parte dessa liquidez foi fornecida pelo Metapool Dao”.
Um plano completo de post mortem e recuperação era esperado dentro de 48 horas, e o protocolo prometeu um reembolso para os usuários afetados.
O incidente não afetou o 913 ETH, a primeira aposta em um contrato MPETH que permaneceria protegido pelos operadores de rede SSV. A Metapool também confirmou que os contratos de apostas na vizinha Solana, Aurora, Internet Computer, Q e Story não foram afetados.
Isso mostra o segundo uso indevido de dívida notável este mês. Em 6 de junho, a plataforma Alex Protocol, com sede em Bitcoin, recebeu uma violação de US $ 8,3 milhões devido a uma vulnerabilidade em sua lógica de verificação de auto-registro, permitindo que os atacantes emitem vários pools de ativos.
O Alex Protocol anunciou um programa de concessão financeira para reembolsar os usuários afetados com a combinação de tokens originais e USDC.
