Un atacante gastó alrededor de $1,800 en MFAM para impulsar una propuesta maliciosa en Moonwell que podría tomar el control de siete mercados y $1.08 millones en activos, poniendo a prueba sus defensas de veto y gobernanza.
Un atacante desconocido, el 26 de marzo, gastó aproximadamente $1,800 para adquirir alrededor de 40 millones de tokens MFAM e impulsar una propuesta de gobernanza maliciosa en el despliegue de Moonriver de Moonwell — completando toda la secuencia en aproximadamente 11 minutos y poniendo en riesgo aproximadamente $1.08 millones en fondos de usuarios.
Según informó The Block, la propuesta del atacante, listada como MIP-R39, busca transferir los derechos administrativos sobre siete mercados de préstamos, el contrato controlador (comptroller) y el oráculo de precios a un contrato bajo el control del atacante. Obtener ese acceso permitiría efectivamente al atacante vaciar los fondos (pools) del protocolo a su voluntad. Moonwell es un protocolo de préstamos DeFi que opera en Moonbeam y Moonriver, dos parachains dentro del ecosistema Polkadot, donde los usuarios depositan activos para obtener rendimiento o pedir prestado contra garantía.
El exploit se dirige a una debilidad estructural endémica de la gobernanza basada en tokens: cuando el token de gobernanza de un protocolo se negocia a precios deprimidos y la participación de los votantes es escasa, un actor malintencionado puede adquirir suficiente peso de voto para aprobar propuestas con relativamente poco capital. Esa dinámica es precisamente lo que hizo posible el ataque — $1,800 en MFAM fueron suficientes para alcanzar el quórum y asegurar un voto favorable antes de que una oposición significativa pudiera movilizarse.
La votación sobre la propuesta permanece abierta hasta el 27 de marzo. Aunque alcanzó el quórum rápidamente, la mayoría de los votos emitidos ahora se oponen. El resultado final aún depende de cualquier poder de voto restante no declarado. Por separado, Moonwell mantiene un mecanismo multisig de emergencia conocido como el “Break Glass Guardian”, que puede anular el proceso de gobernanza y revocar el acceso del atacante antes de la ejecución, independientemente del resultado de la votación.
El incidente es el segundo fallo de seguridad importante que afecta a Moonwell en cuestión de semanas. En febrero, el protocolo sufrió un exploit anterior cuando un oráculo defectuoso — supuestamente coescrito utilizando el modelo de IA Claude Opus 4.6 — tasó erróneamente Coinbase Wrapped ETH (cbETH) en cerca de $1 en lugar de su valor de mercado real de aproximadamente $2,200, generando aproximadamente $1.78 millones en deuda incobrable.
Los ataques de gobernanza no son nuevos en las finanzas descentralizadas, pero continúan exponiendo la tensión entre la participación abierta y la seguridad del protocolo. El ataque de préstamo relámpago (flash loan) de Beanstalk en 2022 sigue siendo el ejemplo más dramático de este vector, con un atacante drenando más de $180 millones al usar un flash loan para acumular temporalmente suficiente poder de voto y aprobar una propuesta fraudulenta en una sola transacción. Compound Finance y el ahora desaparecido Swerve Finance también han enfrentado episodios similares de gobernanza disputada impulsados por la acumulación concentrada de tokens.
Lo que distingue el caso de Moonwell es la eficiencia de costos en bruto. No se requirieron préstamos relámpago — solo una modesta compra en el mercado abierto de un token de baja liquidez, y un sistema de gobernanza que carecía de los mecanismos de frenado para ralentizar una propuesta hostil.
La comunidad y el equipo de Moonwell ahora están compitiendo contra la fecha límite de votación del 27 de marzo. El resultado pondrá a prueba si el mecanismo Break Glass Guardian y la oposición orgánica de los votantes pueden neutralizar la amenaza antes de que la propuesta se ejecute.
