در تاریخ ۱۷ ژوئن در معرض حمله قرارداد هوشمند قرار گرفت که به ضرب غیرمجاز تقریباً ۹٬۷۰۵ واحد mpETH، معادل ۲۷ میلیون دلار، انجامید . با وجود حجم زیاد توکنهای ضربشده، مهاجم بهدلیل نقدینگی پایین در استخرهای معاملاتی تنها توانست حدود ۵۲.۵ ETH، معادل تقریبی ۱۳۳ هزار دلار، را برداشت کند .
تیم Meta Pool این حمله را از طریق سیستمهای «تشخیص زودهنگام» و با همکاری شرکت امنیت بلاکچین Blocksec شناسایی کرد. پس از آن، قرارداد mpETH بهسرعت معلق شد تا از اقدامات غیرمجاز بیشتر جلوگیری شود . خسارت اصلی مربوط به برداشت ETH از استخر Uniswap (۳۷.۵ واحد ETH) و سایر استخرهای در شبکههای لایه۲ مانند Optimism بود .
علت فنی این رخنه، آسیبپذیری در تابع mint() قرارداد mpETH (استاندارد ERC4626) بود، که به مهاجم اجازه داد بدون سپردهگذاری اتریوم، توکن ضرب کند. یکی از همبنیانگذاران پروژه، Claudio Cossio، اظهار کرد مهاجم ممکن است از ویژگی fast unstaking استفاده کرده تا بدون طی دوران unbonding، به اهدافش برسد.
با وجود حمله، قراردادهای staking دیگری در پلتفرم Meta Pool (مانند NEAR، Solana، Aurora و Internet Computer) دستنخورده باقی ماندند . تیم پروژه ضمن انتشار وعده برای «بررسی کامل و برنامه بازپرداخت» ظرف ۴۸ ساعت، اعلام کرده منابع اولیههای ۹۱۳ ETH در قرارداد اصلی ایمن هستند و هیچگونه آسیبی ندیدهاند .
این اولین یا دومین نقصان بزرگ امنیتی در هفتههای اخیر است؛ پیشتر Alex Protocol بالغ بر ۸٫۳ میلیون دلار از دست داده بود . ارزش کل داراییهای قفلشده (TVL) در Meta Pool پیش از حمله حدود ۷۵ میلیون دلار بود، و توکن حاکمیتی MPDAO با قیمت ۰٫۰۲ دلار معامله میشد .
این اتفاق بار دیگر خطرات پروتکلهای DeFi با نقدینگی محدود و ناپایداری قراردادهای هوشمند را برجسته کرد. جریانی که در ماه مه فقط به حملات DeFi بیش از ۳۰۰ میلیون دلار خسارت وارد کرد. پیشرفت تحقیقات و اقدامات جبرانی، نگرش کاربران و توسعهدهندگان را نسبت به امنیت قراردادها حساستر خواهد کرد
