Meta Pool mất 27 triệu USD do lỗ hổng hợp đồng thông minh

Giao thức multi-chain liquid staking Meta Pool đã trở thành nạn nhân của một vụ khai thác hợp đồng thông minh vào thứ Ba, dẫn đến thiệt hại 27 triệu USD.

Our analysis shows that the @meta_pool staking contract has a critical bug that allows for free mint of mpETH.

This specific tx freely mints 9700+ mpETH ($27m), but the low-liquidity of mpETH limits the profit to ~10 ETH. https://t.co/5quBgM6JyP pic.twitter.com/IE9p8UEMXP

— PeckShield Inc. (@peckshield) June 17, 2025

Một lỗ hổng trong hợp đồng đặt cược của Meta Pool cho phép người dùng tự do tạo ra Mpeth, token đặt cược thanh khoản của giao thức. Một kẻ tấn công đã tận dụng lỗ hổng này để tạo ra số token trị giá 27 triệu USD. Tuy nhiên, do thiếu thanh khoản trên Uniswap, kẻ tấn công chỉ có thể hoán đổi số token tương đương 10 Eth, tức khoảng 25.000 USD.

Giao dịch được ghi nhận trên Etherscan trước vụ khai thác cho thấy một tài khoản có nhãn “MEV Frontrunner Yoink” đã rút 90 Eth thanh khoản khỏi hồ bơi của Meta Pool.

Hiện Meta Pool chưa đưa ra bất kỳ thông báo nào về vụ việc trên các kênh mạng xã hội. Tổng giá trị bị khóa (TVL) của dự án vẫn ở mức 75 triệu USD, trong khi token quản trị Mpdao của giao thức được giao dịch ở mức 0,02 USD với khối lượng rất thấp.

Vụ khai thác này nối tiếp xu hướng từ tháng 5, khi các nhà đầu tư thiệt hại tổng cộng 302 triệu USD do các vụ hack, lừa đảo và khai thác lỗ hổng. Sự việc một lần nữa làm nổi bật những rủi ro bảo mật trong lĩnh vực tài chính phi tập trung, đặc biệt là với các giao thức phức tạp như Meta Pool.