Протокол ликвидного стейкинга Meta Pool стал жертвой контрактного эксплойта, в результате которого злоумышленник смог незаконно сгенерировать токены на сумму около $27 млн и похитить активов на сумму более $133 000.
По информации из официального блога Meta Pool от 17 июня, атака произошла из-за уязвимости в логике смарт-контракта, отвечающего за выпуск токенов, обеспеченных стейкингом SOL. Злоумышленник воспользовался отсутствием надёжной верификации балансов и провёл серию транзакций, в ходе которых были созданы и проданы лишние токены протокола.
Команда Meta Pool оперативно обнаружила аномальные операции и инициировала экстренную остановку смарт-контрактов для предотвращения дальнейших потерь. По словам разработчиков, это позволило ограничить ущерб суммой в $133 236 и заблокировать любые новые несанкционированные транзакции.
В ходе расследования Meta Pool выявила следующие ключевые моменты эксплойта:
- Недостаточный контроль корректности входных параметров при вызове функции выпуска токенов.
- Отсутствие встроенных лимитов на количество генерируемых токенов в рамках одной транзакции.
- Задержка с мониторингом аномальной активности, позволившая злоумышленнику обойти стандартные сигналы тревоги.
Для усиления безопасности команда протокола уже реализует ряд срочных мер:
- Модификация смарт-контрактов с дополнительной проверкой балансов и лимитов.
- Включение многоподписных процедур для ключевых функций управления портфелем.
- Проведение независимого аудита кода в сотрудничестве с ведущими фирмами по безопасности DeFi.
Meta Pool также рекомендует участникам протокола временно воздержаться от крупных операций до завершения всех тестов и подтверждения исправлений. Команда планирует опубликовать обновлённый отчет по итогам аудита и предложить вознаграждение за информацию, способствующую выявлению уязвимостей.
Данный инцидент подчёркивает важность комплексного подхода к безопасности DeFi-проектов и регулярного тестирования смарт-контрактов во избежание подобных рисков в будущем.
