Meta Poolが1億3300万円相当の被害、攻撃者が270億円相当のトークンを不正鋳造

流動性ステーキングプロトコルMeta Poolが契約の悪用被害に遭い、不正なトークン鋳造と13万3000ドル（約1億3300万円）以上の損失が発生しました。

Meta Poolは6月17日のブログ投稿で、さらなる被害が発生する前にインシデントを封じ込めることができたと述べています。

チームによると、攻撃は「早期検知システム」とブロックチェーンセキュリティ企業Blocksecの支援により特定され、迅速な対応が可能になり、mpETH契約を一時停止することで「さらなる不正活動や追加の損失」を防ぐことができました。

Meta Poolチームは、このインシデントの原因をmpETH契約のERC4626 mint()関数の脆弱性に帰しています。

別のX投稿で、Meta Poolの共同創設者Claudio CoSsio氏は、攻撃者がプロトコルの高速アンステーキング機能を悪用し、通常のアンバンディング期間を回避して担保を預けずにmpETHを鋳造した可能性を示唆しました。

攻撃者は、プロトコルのイーサリアムベースの流動性ステーキング契約の欠陥を利用して、9,705 mpETHトークン（時価で約270億円相当）を鋳造することに成功しました。しかし、影響を受けたプールの流動性が限られていたため、攻撃者はこれらのトークンを52.5 ETH（時価で約1億3300万円相当）にしか変換できませんでした。

盗まれた資金は、イーサリアムメインネットとOptimismなどのレイヤー2ネットワークにまたがるスワッププールから流出しました。

Meta Poolは、Uniswapプールだけで37.5 ETHの損失が発生したと述べ、「この流動性の大部分はMeta Pool DAOによって提供されていた」と付け加えました。

完全な事後分析と回復計画は48時間以内に発表される予定で、プロトコルは影響を受けたユーザーへの補償を約束しています。

このインシデントは、mpETH契約を通じて最初にステーキングされた913 ETHには影響せず、SSV Networkオペレーターによって保護されています。Meta Poolは、NEAR、Solana、Aurora、Internet Computer、Q、Storyのステーキング契約にも影響がないことを確認しました。

これは今月2回目となる注目すべきDeFi悪用事件です。6月6日には、ビットコインベースのプラットフォームAlex Protocolが、自己リスト検証ロジックの脆弱性を悪用され、複数の資産プールから830万ドル（約8億3000万円）が流出する被害に遭いました。

Alex Protocolはその後、影響を受けたユーザーにオリジナルトークンとUSDCの組み合わせで補償するためのTreasury Grant Programを発表しました。

翻訳者: NeonGhoSTX