一名駭客在對加密協議Meta Pool發起攻擊時,儘管創建了價值高達2700萬美元的可被盜代幣,卻僅成功竊取了約13.2萬美元。這次攻擊因流動性不足和對被攻擊智慧合約的及時暫停而未能達到預期目的。
Meta Pool在週二發布的部落格文章中指出,攻擊者成功鑄造了9,705枚該流動性質押協議的mpETH代幣,總價值接近2700萬美元,但從流動性交換池中僅竊取了約52.5枚以太幣(ETH),價值略高於13.2萬美元。
該協議進一步解釋稱,部分受影響的資金池由於流動性和交易量較低,使得攻擊難以全面實施,同時其「早期偵測系統」幫助團隊快速暫停了受影響的合約,有效防止了「進一步的未授權活動或額外損失」。
駭客利用「快速解質押」功能
Meta Pool聯合創始人Claudio Cossio在週二的X平台貼文中表示:「駭客利用了『快速解質押功能』漏洞,這使他們能夠鑄造數千枚mpETH代幣。」
通常情況下,加密貨幣解質押後需要經過一段等待期才能進行轉移;然而,透過快速解質押(也稱為閃電解質押)技術,在滿足特定條件的情況下,這一等待期可以被繞過。
區塊鏈安全公司PeckShield在X平台發文指出,該質押合約存在「嚴重漏洞」,允許駭客免費鑄造mpETH,但「mpETH的低流動性限制了攻擊者能獲取的利潤」。
Meta Pool團隊解釋稱,這次攻擊「涉及透過ERC4626 mint()函數未經授權鑄造代幣」。
攻擊者掏空交換池
在鑄造mpETH後,攻擊者利用這些代幣的大部分從交換池中抽走了52.5枚ETH,影響了多個以太坊主網和Optimism池。
Meta Pool團隊強調,一個受影響的Optimism池「流動性和交易量較低」。
「需要明確的是,所有質押的以太坊仍然安全,這些資產已委託給SSV網路運營商,目前正在以太坊主網上驗證區塊並累積質押獎勵,」Meta Pool團隊如此聲明。
據Meta Pool團隊透露,預計將在未來兩天內發布事件的完整調查報告以及恢復計畫。與此同時,受影響的mpETH合約將在調查期間繼續保持暫停狀態。
Meta Pool已承諾「將全額賠償此次事件造成的資產損失」並確保所有用戶「得到全額補償」。
加密協議遭受攻擊事件頻發
比特幣去中心化金融平台Alex Protocol(運行於Stacks區塊鏈上)於6月6日遭受攻擊,損失高達830萬美元,攻擊者利用自上線驗證邏輯中的漏洞成功抽乾了多個資產池的流動性。
同時,台灣地區加密貨幣交易所BitoPro於6月2日確認,5月8日發生的安全漏洞導致其熱錢包資產損失超過1150萬美元。