Meta Pool (META), el proyecto de “liquid staking” (staking líquido) que opera en varias cadenas de bloques, incluyendo los protocolos NEAR, Aurora, Ethereum, Internet Computer Protocol (ICP) y Solana, sufrió un ciberataque la semana pasada, que obligó a detener su contrato mpETH, luego que un atacante lograra acuñar una pequeña cantidad de criptomonedas que se llevó.
En un comunicado en Medium, Meta Pool explicó que “la plataforma de staking líquido” había sufrido “un exploit, que actualmente está bajo control”. “Estamos trabajando en una solución con el equipo de seguridad de Blocksec, que compartiremos con todos en las próximas 48 horas. Este informe debe considerarse preliminar; pronto publicaremos un análisis completo de este incidente”.
Según se describe en el informe, el pasado miércoles, Meta Pool sufrió un incidente de seguridad en su contrato mpETH (Liquid Stake Ethereum) en la blockchain de Ethereum. Un ciberatacante explotando la función ERC4626 mint() del contrato inteligente, logró acuñar 9.705 mpETH de forma no autorizada y sin el respaldo de Ethereum (ETH) real.
Esto provocó una pérdida financiera real para el protocolo de aproximadamente 47.000 dólares en Ethereum. Esta pequeña cantidad se debió a la extremadamente baja liquidez en el pool de Uniswap para el token mpETH, lo que limitó la capacidad del atacante para convertir los tokens acuñados a solo 10 ETH (aproximadamente 25.000 dólares en el momento del evento).
Inicialmente, el ataque resultó en el robo de aproximadamente 52.5 ETH de los pools de liquidez swap. Es importante destacar que los 913 ETH que ya estaban staked legítimamente no se vieron afectados por el incidente.
Como medida inmediata de seguridad, Meta Pool pausó el contrato mpETH afectado y deshabilitó las transferencias para evitar mayores pérdidas. De acuerdo a lo explicado en el comunicado, “el principal pool de intercambio de liquidez de mpETH<>wETH tenía 15 ETH en liquidez que se vieron afectados, todos estos fondos son del Meta Pool DAO”.
“El equipo enfatizó que actualmente está evaluando el impacto más amplio del incidente en los intercambios descentralizados (DEX), específicamente en Uniswap, que tenía 37,5 ETH en el grupo de intercambio, la mayor parte de esta liquidez fue proporcionada por Meta Pool DAO”.
“En Optimism (OP) L2 (Velodrome) hubo baja liquidez y volumen, al igual que en el protocolo Lynex en Linea L2. Actualmente estamos evaluando el impacto. Mientras continúan las investigaciones, nos comprometemos a realizar un análisis completo del vector de ataque para describir en detalle cómo se explotó la vulnerabilidad”.
También Meta Pool, señaló que se encontraban “trabajando para resolver el problema de seguridad es ahora una prioridad máxima y los desarrolladores están trabajando activamente en el desarrollo de un plan para restaurar la funcionalidad”.
Además, señalaron “Junto con los esfuerzos técnicos del equipo de BlockSec, Meta Pool está preparando un plan de recuperación transparente y viable que presentaremos a su comunidad una vez que se definan todos los pasos”.
From Exploit to Recovery: How 45 ETH Were Saved Thanks to Ethical Hackers.
We are pleased to report that the entire amount recovered by MEV Frontrunner @yoink6980 — approximately $117,000 USD — was promptly returned to Meta Pool.
Read more:https://t.co/4SAsMJDSsT
— Meta Pool (@meta_pool) June 21, 2025
Un aspecto crucial en la recuperación fue la intervención de un grupo de hackers éticos llamados “MEV Frontrunner Yoink”, los cuales lograron rescatar 45.79 ETH al realizar un “front-run” a una de las transacciones del atacante que intentaba extraer liquidez de los pools afectados.
Gracias a esta acción preventiva se evitó que una cantidad significativa de ETH se perdiera durante este ciberataque. En reconocimiento a su acción, Meta Pool otorgó una recompensa de 5 ETH al grupo. Gracias a esta intervención, el impacto real de la pérdida se redujo considerablemente.
El funcionamiento del protocolo Meta Pool es relativamente sencillo, por lo que de haber podido explotar la vulnerabilidad completamente de forma más rápida, quizás las perdidas pudieran haber sido mucho mayores.
Básicamente, Meta Pool al ser una solución DeFi de staking líquido permite a los usuarios hacer staking de sus tokens (como NEAR y Ethereum) y recibir a cambio tokens de staking líquido (LSTs), como stNEAR y mpETH.
Estos LSTs pueden luego ser utilizados en diversas aplicaciones de finanzas descentralizadas (DeFi) para maximizar la eficiencia del capital, mientras los activos originales permanecen bloqueados generando recompensas.
Igualmente, Meta Pool también funciona como una DAO (Organización Autónoma Descentralizada), llamada mpDAO, que promueve la gobernanza y la participación comunitaria, ofreciendo recompensas a los participantes, por lo que ha sido una de las plataformas más empleadas por los usuarios.
No obstante, el informe forense post-mortem en colaboración con la firma de seguridad BlockSec, Meta Pool, confirmó el vector de ataque y la vulnerabilidad del contrato inteligente. Este informe detalla la cronología del incidente, el impacto, las lecciones aprendidas y los próximos pasos, incluyendo mitigación técnica, compensación y mejoras de seguridad que tendrá dicho Smart Contract.
No obstante, en otro comunicado Meta Pool reveló los próximos pasos a seguir para cerrar la vulnerabilidad crítica que permitió al atacante explotar la vulnerabilidad. En primer lugar, abordarán la mitigación técnica, anulando “adecuadamente la función mint()”. Del mismo modo, “el contrato mpETH está actualmente en pausa y mpETH no es transferible”.
También se promete implementar “un nuevo contrato endurecido y auditado nuevamente”. Dado que “Meta Pool ha tomado una instantánea” ahora pueden “identificar a los titulares actuales que depositaron ETH”.
Asimismo prometen que “la desestimación del contrato mpETH existente comenzará tan pronto como ‘este’ listo el nuevo contrato”. En todo caso, Meta Pool ofrece a “los participantes actuales de ETH”, que recibirán un airdrop del nuevo LST, cuyo proceso e información adicional se proporcionará “en los próximos días”.
En segundo lugar, Meta Pool, prometió pagar una compensación para lo cual se encontraba, “evaluando mecanismos de compensación para los usuarios que aportaron liquidez a los pools afectados por el exploit”.
Y añade que “Si bien el alcance exacto aún no se ha definido, nuestra intención es reconocer el impacto en quienes contribuyeron activamente al ecosistema y explorar formas justas de restitución”.
Por otro lado, Meta Pool ofrece coordinar acciones “con los proveedores de puentes en Optimism y Linea para identificar y gestionar los tokens mpETH generados ilegítimamente que se transfirieron a estas redes”. Ya que su “prioridad es minimizar cualquier efecto residual en los distintos entornos y salvaguardar la integridad del protocolo”.
El Valor Total Bloqueado (TVL) de este proyecto DeFi Meta Pool, al momento de redactar esta nota, asciende a 94.869.213 dólares, por lo que no se aprecian grandes salidas que hayan sido impulsadas por el ciberataque, lo que demuestra un buen manejo de la crisis de este exploit.