-
La plataforma Meta Pool sufrió un exploit en el contrato de su token mpETH.
-
La empresa asegura haber controlado el ataque y que reembolsarán a usuarios afectados.
El 17 de junio de 2025, Meta Pool, una plataforma de staking líquido en la red Ethereum, sufrió un exploit que resultó en la sustracción de aproximadamente 52,5 ether (ETH) de sus pools de intercambio de liquidez (132 mil dólares aproximadamente).
El ataque, detectado por investigadores de seguridad y contenido por el equipo de desarrollo de Meta Pool, expuso vulnerabilidades en el contrato de su token mpETH, utilizado para facilitar el staking líquido en Ethereum. De momento, el contrato de mpETH quedará suspendido «mientras se lleva a cabo la investigación y las medidas de mitigación necesarias». Es decir, las transferencias están deshabilitadas.
El exploit involucró la creación no autorizada de 9.705 tokens mpETH, un activo que representa ether apostado en la plataforma Meta Pool.
Según el informe preliminar de la empresa, el ataque se llevó a cabo a través de la función mint (imprimir) del estándar ERC-4626, un protocolo que define cómo los contratos inteligentes gestionan activos depositados, como en el caso del staking líquido.
Este mecanismo permite a los usuarios depositar ether en un contrato y recibir a cambio tokens que representan su participación, los cuales pueden negociarse o utilizarse en otras aplicaciones de finanzas descentralizadas (DeFi) sin necesidad de retirar los fondos originales.
En el caso de Meta Pool, la función mint, que debería estar protegida contra accesos no autorizados, fue manipulada para generar mpETH sin depositar el ether correspondiente.
El equipo de Meta Pool, en colaboración con la firma de seguridad Blocksec, logró contener el ataque y aseguró que los fondos en staking, delegados a operadores de la red SSV Network, permanecen intactos. Estos operadores son responsables de validar bloques en la red principal de Ethereum, generando recompensas por staking que benefician a los usuarios de la plataforma.
Adicionalmente, desde la empresa señalaron que «todos los usuarios afectados por este exploit serán completamente compensados y reembolsaremos los activos perdidos por este incidente».
En última instancia, Meta Pool ha prometido publicar un informe completo (post-mortem) en las próximas 48 horas, detallando las causas del exploit y las medidas para prevenir futuros incidentes.
