Im Juni 2025 meldete das Liquid-Staking-Protokoll Meta Pool eine gravierende Sicherheitslücke, durch die ein Hacker in der Lage war, illegal nahezu 27 Millionen US-Dollar in Form ihres eigenen Tokens mpETH zu generieren. Trotz des erheblichen potenziellen Schadens gelang es dem Angreifer jedoch nur, etwa 52,5 Ether (ETH) im Wert von rund 132.000 US-Dollar von den Liquiditätspools zu entwenden. Dieser scheinbare Widerspruch zwischen der Höhe der erzeugten Tokens und dem tatsächlich erbeuteten Betrag ist ein faszinierendes Beispiel dafür, wie Liquidity-Pools, Frühwarnsysteme und technische Hürden zusammenwirkten, um die Emission unbegrenzter Schadensausmaße zu verhindern. Meta Pool, das sich auf Ethereum-basiertes Liquid Staking spezialisiert hat, bietet Nutzern die Möglichkeit, gestaktes Ethereum zu tokenisieren und diese Token, bekannt als mpETH, für Liquiditätszwecke oder im DeFi-Ökosystem zu verwenden.
Das System verwendet dabei das ERC4626-Standard-Token Interface – ein Protokoll, das für die Verwaltung von Asset Vaults konzipiert wurde. Die Sicherheitslücke nutzte genau eine Schwachstelle in der mint()-Funktion dieses Protokolls, welche für das Erstellen neuer mpETH-Token verantwortlich ist. Der Kern der Attacke lag in der sogenannten „Fast Unstake“-Funktion, mit der Nutzer leurs gestaktes Ethereum schneller freigeben und in Token umwandeln konnten. Normalerweise müssen bei Staking-Verträgen Wartezeiten eingehalten werden, bevor das Kapital abgehoben oder transferiert werden kann. Die Fast Unstake Funktion umging diese Wartezeit unter gewissen Bedingungen.
Leider hatte die Implementierung einen kritischen Bug, der es externen Angreifern ermöglichte, beliebig viele mpETH-Token zu minten, ohne eigentliche Sicherheiten dahinterzustellen. Die gefährliche Ausnutzung dieser Funktion führte dazu, dass der Angreifer 9705 mpETH-Token erzeugte – ein Wert, der auf dem Markt fast 27 Millionen US-Dollar entspricht. Kurz nach der unautorisierten Token-Minting-Aktion versuchte der Angreifer, diese Token durch Swap-Pools gegen ETH zu tauschen, um die Erträge ihres Angriffs zu realisieren. Hier kam es zu entscheidenden Faktoren, welche die maximale Schadenssumme deutlich limitierte. Erstens verfügten einige der betroffenen Swap-Pools – insbesondere einer auf der Ethereum-Second-Layer-Lösung Optimism – über sehr niedrige Liquidität und Handelsvolumen.
Dies bedeutete, dass der Angreifer trotz der hohen Anzahl an mpETH nur einen kleinen Betrag an effektivem Ether herausziehen konnte, da die Pools schlichtweg nicht ausreichend Kapital für größere Transaktionen vorhielten. Zweitens löste das „Early Detection System“ von Meta Pool unmittelbar nach der Identifizierung der Attacke eine automatische Pausierung des betroffenen Smart Contracts aus. Das bedeutete, dass weitere mint()-Aufrufe blockiert wurden und die Möglichkeit, mpETH unautorisiert zu erzeugen, unterbunden wurde. Dieses Sicherheitsfeature bewahrte die Plattform davor, weiteren Verlusten ausgesetzt zu werden und verhinderte eine vollständige Ausbeutung der Schwachstelle. Claudio Cossio, Mitbegründer von Meta Pool, bestätigte auf der Plattform X (vormals Twitter), dass die Kombination aus niedriger Liquidität, effektiver Überwachung und schnellem Eingreifen dazu führten, dass der Angreifer nur rund 52,5 ETH entwenden konnte, obwohl er theoretisch 27 Millionen US-Dollar an Tokens generierte.
Die schnelle Reaktion von Meta Pool zeigt, wie wichtig robuste Überwachungssysteme und Kontrollmechanismen in der oft hektischen DeFi-Welt sind. Ein wichtiger Punkt, den Meta Pool hervorhob, ist die Sicherheit des tatsächlich gestakten Ethereum. Die gestakten Ethereum-Bestände sind weiterhin sicher innerhalb der Operatoren des SSV-Netzwerks delegiert, die als Validatoren fungieren und das Ethereum-Mainnet aktiv sichern. Die Schwachstelle betraf ausschließlich den mpETH Token und dessen Liquiditätsmechanismen, nicht jedoch das underlying Kapital der Nutzer. Eine umfassende Post-Mortem-Analyse der Attacke wird vom Team in den nächsten Tagen erwartet.
Gleichzeitig bleibt der betroffene mpETH Smart Contract pausiert, bis das Problem vollständig behoben und eine Wiederholung der Schwachstelle ausgeschlossen werden kann. Meta Pool versprach zudem, die Nutzer für erlittene Verluste vollständig zu entschädigen, was in der Vergangenheit immer wieder als Schlüssel für die Vertrauenserhaltung nach erfolgreichen Exploits gilt. Diese Ereignisse signalisieren für die gesamte DeFi-Branche eine wichtige Lehre: Selbst gut durchdachte Protokolle können durch unerwartete Codierungsfehler verwundbar werden. Die Reaktion von Meta Pool demonstriert jedoch auch, dass ein schnelles Eingreifen, transparente Kommunikation und technische Schutzmechanismen das Ausmaß von Angriffen deutlich reduzieren können. Die Kombination dieser Maßnahmen wird von Branchenexperten als kritischer Erfolgsfaktor für die Sicherheit dezentraler Finanzsysteme angesehen.
Der Fall Meta Pool reiht sich ein in eine Reihe großer Sicherheitsvorfälle im Kryptosektor im Jahr 2025. So berichtete etwa das Bitcoin-DeFi-Protokoll Alex Protocol wenige Wochen zuvor von einem Exploit mit Schäden in Höhe von 8,3 Millionen US-Dollar, ausgelöst durch eine Schwäche in der Selbstlistungsverifikation. Ebenso gab die taiwanesische Krypto-Börse BitoPro Anfang Juni Sicherheitslücken in ihren Hot Wallets zu und meldete Verluste von über 11,5 Millionen US-Dollar. Diese wiederkehrenden Vorfälle unterstreichen die Notwendigkeit kontinuierlicher Audits, Penetrationstests und Verbesserungen im Entwicklungsprozess von Smart Contracts. Da sich Hacker zunehmend auf komplexe Code-Schwachstellen und ausgefeilte Exploits konzentrieren, wächst die Bedeutung von Frühwarnsystemen und robusten Notfallprotokollen.
Die Geschichte des Meta Pool Angriffs liefert zudem wertvolle Erkenntnisse über Liquiditätspools und deren Rolle im Risiko-Management. Niedrige Liquidität kann in vielen Situationen als Schwäche gelten, da sie Nutzertransaktionen erschwert. Im vorliegenden Fall diente sie jedoch als natürliche Bremse gegen eine zu schnelle Kapitalflucht. Diese Dualität erfordert von Protokollen eine wohlüberlegte Balance zwischen ausreichender Liquidität für Anwender und dem Schutz vor großen Angriffen. Zusammenfassend zeigt der Vorfall, dass trotz der immensen Risiken im DeFi-Bereich High-Tech-Sicherheitsarchitekturen und proaktive Managementstrategien die potenziell katastrophalen Folgen von Exploits erheblich abmildern können.
