Un reciente ataque al protocolo de staking líquido Meta Pool dejó al descubierto una vulnerabilidad crítica que pudo haber causado pérdidas multimillonarias, pero fue contenido a tiempo. Un hacker logró acuñar 9,705 tokens mpETH con un valor teórico cercano a los 27 millones de dólares. Sin embargo, solo pudo extraer 52,5 ETH —unos 132.000 dólares— debido a la baja liquidez de los fondos disponibles. Este incidente pone en evidencia cómo las limitaciones de mercado y una respuesta ágil pueden marcar la diferencia entre un susto y una catástrofe financiera en el entorno DeFi.
El vector de ataque se originó en una función llamada «desbloqueo rápido», que permitió el acuñado no autorizado de tokens sin cumplir con los tiempos normales de espera. Esta característica, conocida como flash unstaking, elimina el periodo de espera tras un retiro, siempre que se cumplan ciertos requisitos. En este caso, el hacker supo aprovechar una condición mal diseñada en el contrato inteligente que facilitó el uso indebido de la función mint() del estándar ERC4626, evidenciando un error crítico que, según la firma de seguridad PeckShield, permitía acuñar tokens gratuitamente.
El atacante utilizó los tokens creados para drenar liquidez de varios pools de intercambio, especialmente en la red Optimism y la cadena principal de Ethereum. Aunque los fondos extraídos fueron mínimos en comparación con el valor acuñado, el impacto fue tangible. La baja liquidez en esos pools impidió que el atacante liquidara una mayor parte de los mpETH sin desplomar su valor de mercado. Esta reacción mecánica de protección del mercado —una especie de defensa pasiva— limitó drásticamente el beneficio obtenido, frustrando los posibles planes del explotador.
Meta Pool reaccionó con celeridad al activar sus sistemas de detección temprana y pausar el contrato inteligente vulnerable. Esta decisión evitó pérdidas mayores y demostró que contar con herramientas de monitoreo proactivo es esencial en protocolos descentralizados. No obstante, el incidente deja en entredicho la auditoría previa del contrato y la implementación apresurada de funciones avanzadas como el flash unstaking, que si bien ofrecen comodidad, amplifican los vectores de ataque si no son cuidadosamente validadas.
A pesar del revés, Meta Pool aseguró que todos los ETH en staking están a salvo, respaldados por operadores de la red SSV que siguen validando bloques y generando recompensas. Se espera que en los próximos días el equipo publique un informe técnico detallado del ataque y un plan de recuperación. Mientras tanto, el contrato de mpETH permanecerá en pausa. Este episodio sirve como recordatorio de que en el mundo cripto, la seguridad no es una opción, sino una necesidad constante frente a amenazas que evolucionan con la tecnología.
Descargo de responsabilidad: La información presentada no constituye asesoramiento financiero, de inversión, comercial u otro tipo y es únicamente la opinión del escritor, Las imágenes son solo con fines ilustrativos y no deben usarse para la toma de decisiones importantes. Al usar este sitio, acepta que no somos responsables de pérdidas, daños o lesiones derivadas del uso o interpretación de la información o imágenes.
