Meta Pool bị khai thác 27 triệu USD, nhưng hacker chỉ lấy được 132.000 USD

Một hacker đã tấn công giao thức staking Meta Pool và tạo ra lượng token trị giá gần 27 triệu USD, nhưng cuối cùng chỉ đánh cắp được khoảng 132.000 USD do tính thanh khoản thấp và hợp đồng thông minh bị tạm dừng kịp thời.

Theo bài đăng trên blog ngày 17/6, hacker đã khai thác một lỗ hổng trong tính năng unstake nhanh (fast unstake) để mint 9.705 token mpETH—token của Meta Pool—với tổng giá trị ước tính khoảng 27 triệu USD. Tuy nhiên, do thiếu thanh khoản tại các pool hoán đổi, kẻ tấn công chỉ rút được khoảng 52,5 ETH, tương đương hơn 132.000 USD.

Meta Pool cho biết một số pool bị ảnh hưởng có khối lượng giao dịch thấp, gây khó khăn cho việc chuyển đổi mpETH sang tài sản khác. Hệ thống cảnh báo sớm đã giúp đội ngũ phát hiện và tạm dừng hợp đồng thông minh bị khai thác, ngăn chặn thêm tổn thất.

Theo đồng sáng lập Claudio Cossio, hacker đã lợi dụng chức năng unstake nhanh—một cơ chế cho phép bỏ qua thời gian chờ sau khi unstake, nếu đáp ứng một số điều kiện nhất định—để tạo ra hàng nghìn mpETH.

Công ty bảo mật blockchain PeckShield xác nhận hợp đồng staking của Meta Pool chứa “lỗi nghiêm trọng”, cho phép mint mpETH mà không cần thế chấp, nhưng do thanh khoản thấp, hacker không thể kiếm lợi nhuận lớn.

Update on ETH exploit on Meta Pool:

– All ETH staked on Meta Pool is SAFU.
– The amount that was taken by the attacker is approx $47,000 USD
– The exploit affected the fast unstake functionality, allowing the attacker to mint mpETH.
– The attacker minted around 10,600 mpETH.
-…

— Claudio Cossio (@ccossio) June 17, 2025

Sau khi mint token, kẻ tấn công đã dùng số mpETH đó để rút thanh khoản khỏi các pool hoán đổi trên Ethereum Mainnet và Optimism, lấy đi tổng cộng 52,5 ETH. Tuy nhiên, Meta Pool nhấn mạnh rằng pool trên Optimism có “thanh khoản và khối lượng giao dịch rất thấp”.

Meta Pool cũng khẳng định toàn bộ lượng Ethereum được staking vẫn an toàn, vì đang được ủy quyền cho các nhà vận hành mạng SSV, nơi tiếp tục xác thực giao dịch và tạo phần thưởng staking trên Ethereum Mainnet.

Đội ngũ Meta Pool cho biết họ sẽ công bố báo cáo đầy đủ về sự cố trong vòng 2 ngày tới, kèm theo kế hoạch khôi phục. Trong thời gian chờ điều tra, hợp đồng liên quan đến mpETH sẽ tiếp tục bị tạm dừng.

Ngoài ra, Meta Pool cam kết sẽ hoàn trả tài sản bị mất cho người dùng và đảm bảo tất cả người dùng đều được bồi thường đầy đủ.

Các vụ tấn công DeFi gần đây

• Alex Protocol, một nền tảng DeFi trên blockchain Stacks, đã bị khai thác vào ngày 6/6 khiến thiệt hại 8,3 triệu USD, do lỗi trong cơ chế xác minh tự niêm yết.

• Sàn giao dịch BitoPro của Đài Loan cũng xác nhận mất hơn 11,5 triệu USD sau khi bị tấn công vào ví nóng ngày 8/5.

Trong năm 2025, các vụ hack crypto đã gây thiệt hại hơn 2,1 tỷ USD, theo báo cáo từ CertiK, với xu hướng chuyển từ khai thác mã sang tấn công người dùng.

• Thành viên chủ chốt Grin token bị bắt cóc và tra tấn tại New York
• Công an Đồng Nai phá tan nền tảng tiền ảo Matrix Chain (MTC) lừa đảo hơn 10.000 tỷ VND
• Giăng bẫy giả đầu tư Bitcoin với bạn thân, người phụ nữ lĩnh án 13 năm tù
  

Thạch Sanh