Explorador de falhas cria US$ 27 milhões em tokens fantasmas na Meta Pool — e o mercado nem piscou
Um hacker anônimo explorou uma vulnerabilidade crítica no protocolo Meta Pool, cunhando US$ 27 milhões em tokens sem lastro real. A falha — descoberta em transações públicas na blockchain — expôs brechas no código de contratos inteligentes que deveriam ser ''à prova de balas''.
Como aconteceu? O invasor manipulou funções de recompensa de staking, criando saldos fictícios sem depósito equivalente. A equipe da Meta Pool desativou contratos vulneráveis horas depois, mas o estrago já estava feito.
E agora? Enquanto desenvolvedores correm para patches, grandes holders fazem lobby para que os tokens fantasmas sejam reconhecidos — porque é claro que alguém sempre tenta lucrar com o caço.
O protocolo de liquid staking Meta Pool foi alvo de um ataque hacker explorando uma vulnerabilidade em seu contrato inteligente. Nesta terça-feira (17), um hacker teria conseguido cunhar US$ 27 milhões em tokens do protocolo, sem precisar fazer staking da moeda correspondente.
PeckShield informa bug de contrato inteligente na Meta Pool. Fonte: X.com
O montante representa cerca de 30% de todo o volume disponível dentro do Meta Pool, um protocolo de staking líquido. Ele permite que investidores façam staking de suas criptomoedas e recebam tokens líquidos em troca. Esses tokens são utilizados em outras aplicações DeFi (Finanças Descentralizadas). Enquanto isso, as criptomoedas ficam bloqueadas em staking, rendendo para o investidor.
No caso do exploit, o hacker descobriu como ganhar tokens líquidos de Ethereum sem a necessidade de fazer staking de ETH no protocolo. Embora o hacker tenha cunhado cerca de US$ 27 milhões em tokens, a liquidez extremamente baixa na pool da Uniswap restringiu sua capacidade de conversão para apenas 10 ETH (aproximadamente US$ 25.000).
O caso veio a público após o perfil da PeckShield, uma empresa de segurança em blockchain, no X noticiar o bug e a cunhagem pirata. De acordo com eles, o bug no protocolo permitiu que o invasor cunhasse tokens mpETH ilimitadamente.
Embora o invasor tenha cunhado mais de US$ 27 milhões em mpETH — versão líquida do Ethereum distribuída pelo Meta Pool aos usuários que fazem staking de seus Ethereum no protocolo — o prejuízo para o protocolo foi de apenas US$ 25 mil.
Isso porque, não havia tantos compradores interessados em comprar mpETH na Uniswap, exchange descentralizada utilizada para negociação das versões líquidas dos tokens da Meta Pool. Além disso, o PeckShield compartilhou a informação de que, minutos antes do ataque, uma transação identificada como “MEV Frontrunner Yoink” removeu 90 ETH de liquidez da pool, o que pode ter contribuído para a limitação do prejuízo.
- Leia também: Golpes com IA causam prejuízos de US$ 4,6 bilhões em criptomoedas
Resposta da Meta Pool
A equipe do Meta Pool pausou o contrato assim que o ataque foi detectado, evitando danos maiores. Em comunicado no X, o protocolo afirmou:
“Atenção, Comunidade! Gostaríamos de informar que hoje cedo foi detectado um ataque ao contrato mpETH no Ethereum, que resultou na cunhagem não autorizada de tokens por meio da função mint(). Estamos revisando o impacto nas diferentes DEXs e na ponte OP. Graças à detecção precoce, o contrato foi imediatamente pausado pela equipe fundadora, evitando maiores danos”
Além disso, eles destacaram que após a verificação do ocorrido, será preparado um plano de ação a ser enviado para a comunidade.
De acordo com dados do CoinGecko, o TVL (Total Value Locked) do Meta Pool permanece em US$ 75 milhões, enquanto seu token de governança, MPDAO, utilizado para pagamento de taxas dentro do protocolo, opera em baixa de 4,2%, sendo negociado a S$ 0.023.
- Leia também: Canadá terá primeiro ETF de XRP à vista em 18 de junho
