Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 078Exploit de puente

Depósito falso en el puente Meter.io

El puente Meter Passport perdió $4,4 M cuando su manejador de depósitos aceptó un monto de token wrapped sin respaldo, minteando BNB/ETH puenteados.

Fecha
Víctima
Meter.io
Cadena(s)
MeterBNB Chain
Estado
Fondos robados

El 5 de febrero de 2022, el puente cross-chain Meter Passport fue explotado por aproximadamente $4,4 millones. El manejador de depósitos del puente confió incorrectamente en el monto transferido reportado para tokens nativos/wrapped, permitiendo al atacante desencadenar un minteo de activos puenteados sin un depósito real correspondiente.

Qué ocurrió

La lógica de deposit de Meter Passport distinguía entre transferencias ERC-20 y transferencias de token nativo (wrapped). Una falla en cómo la ruta nativa/wrapped calculaba el monto depositado significaba que un atacante podía invocar el depósito sin una transferencia subyacente real y aun así hacer que el puente emitiera un evento de depósito acreditándolo en la cadena de destino.

El atacante usó esto para mintear BNB/ETH puenteados en el lado de destino sin bloquear activos reales en el lado de origen, luego vendió los tokens puenteados sin respaldo. El exploit también afectó brevemente a protocolos (por ejemplo Hundred Finance, Voltage) que usaban activos puenteados de Meter, hasta que se pausaron.

Consecuencias

  • Meter pausó el puente y parcheó el manejo del monto de depósito.
  • Meter comprometió fondos del tesoro para un plan de compensación para los tenedores de activos puenteados afectados y los protocolos descendentes.
  • Sin recuperación pública desde el atacante.

Por qué importa

Meter.io es una instancia más de "depósito falso" en puentes — la misma clase estructural que Qubit Finance, Nomad y THORChain. Cada puente mintea una representación de destino basada en una afirmación sobre el estado de la cadena de origen; cualquier cosa que permita a un atacante fabricar esa afirmación rompe el puente por completo. Las entradas de puentes del catálogo son, casi sin excepción, variaciones de esta única frase — y Meter, que ocurre en los mismos meses que las mayores catástrofes de puentes de 2022, es un punto de datos pequeño pero representativo del año en que los puentes demostraron ser el componente más sistemáticamente frágil de DeFi.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-meter-io-hack-february-2022
  2. [02]beincrypto.comhttps://beincrypto.com/cross-chain-bridge-hack-of-meter-sees-4-4m-stolen/
  3. [03]rekt.newshttps://rekt.news/meter-rekt

Registros relacionados