Een hacker wist in te breken op Meta Pool en creëerde voor $27 miljoen aan mpETH-tokens. Toch liep hij uiteindelijk weg met slechts $132.000. De reden? Lage liquiditeit, snelle actie van het team én een beetje pech voor de aanvaller.

Meta Pool is een liquid staking-protocol op Ethereum. De aanval vond plaats via een kwetsbaarheid in de zogeheten ‘fast unstake’-functie. Hiermee kun je crypto direct unstaken, zonder wachttijd. Handig voor gebruikers, maar in dit geval ook voor een hacker.

Hij gebruikte een fout in de smart contractcode om bijna 10.000 mpETH-tokens aan te maken. Die tokens hadden op papier een waarde van $27 miljoen. Alleen: er was simpelweg niet genoeg liquiditeit in de betrokken swap pools om ze in te wisselen. Uiteindelijk kon hij er maar zo’n 52,5 ETH uithalen, wat neerkomt op ongeveer $132.000.

Meta Pool had geluk bij een ongeluk. Het protocol ontdekte de aanval vroegtijdig en pauzeerde direct de getroffen smart contract. Daardoor bleef verdere schade uit. Alle gestakete ETH is volgens het team veilig en staat nog steeds netjes gestationeerd bij de validators op Ethereum via SSV Network.

Binnenkort komt er een uitgebreid rapport over de aanval en een herstelplan. De getroffen gebruikers hoeven zich volgens Meta Pool geen zorgen te maken: zij worden volledig gecompenseerd.

Overigens is Meta Pool niet het enige slachtoffer deze maand. Alex Protocol, een Bitcoin DeFi-platform, verloor eerder $8,3 miljoen. En bij de Taiwanese exchange BitoPro verdween ruim $11,5 miljoen uit de hot wallets.

De les? Zelfs als een aanval technisch succesvol is, kunnen praktische beperkingen – zoals lage liquiditeit – de schade flink beperken. Maar dat neemt niet weg dat DeFi-protocollen scherp moeten blijven. Zeker als het gaat om risicovolle functies zoals flash unstaking.