एक हमलावर ने MFAM पर लगभग $1,800 खर्च किए ताकि मूनवेल के एक दुर्भावनापूर्ण प्रस्ताव को आगे बढ़ाया जा सके, जो सात बाजारों और $1.08 मिलियन की संपत्ति पर नियंत्रण कर सकता था, जिससे उसके वीटो और गवर्नेंस सुरक्षा की परीक्षा हुई।
26 मार्च को एक अज्ञात हमलावर ने लगभग 40 मिलियन MFAM टोकन खरीदने के लिए लगभग $1,800 खर्च किए और मूनवेल के मूनरिवर परिनियोजन पर एक दुर्भावनापूर्ण गवर्नेंस प्रस्ताव को बलपूर्वक आगे बढ़ाया — इस पूरी प्रक्रिया को लगभग 11 मिनट में पूरा किया और लगभग $1.08 मिलियन उपयोगकर्ता निधि को जोखिम में डाल दिया।
द ब्लॉक द्वारा रिपोर्ट किए गए अनुसार, हमलावर का प्रस्ताव, MIP-R39 के रूप में सूचीबद्ध है, जिसका उद्देश्य सात ऋण बाजारों, नियंत्रक अनुबंध और मूल्य ओरेकल पर प्रशासनिक अधिकार एक हमलावर के नियंत्रण वाले अनुबंध को हस्तांतरित करना है। इस पहुंच को प्राप्त करने से हमलावर को प्रोटोकॉल के पूल को अपनी इच्छानुसार खाली करने की अनुमति मिल जाएगी। मूनवेल एक डीफाई ऋण प्रोटोकॉल है जो पोलकाडॉट इकोसिस्टम के भीतर दो पैराचेन, मूनबीम और मूनरिवर पर संचालित होता है, जहां उपयोगकर्ता यील्ड कमाने या संपार्श्विक के बदले उधार लेने के लिए संपत्ति जमा करते हैं।
यह शोषण टोकन-आधारित गवर्नेंस की एक संरचनात्मक कमजोरी को लक्षित करता है: जब किसी प्रोटोकॉल का गवर्नेंस टोकन कम कीमतों पर कारोबार करता है और मतदाता भागीदारी पतली होती है, तो एक बुरा अभिनेता अपेक्षाकृत कम पूंजी के साथ प्रस्तावों को पारित करने के लिए पर्याप्त मतदान शक्ति हासिल कर सकता है। यही गतिशीलता थी जिसने हमले को संभव बनाया — $1,800 मूल्य का MFAM कोरम तक पहुंचने और सार्थक विरोध संगठित होने से पहले एक अनुकूल वोट लॉक करने के लिए पर्याप्त था।
प्रस्ताव पर मतदान 27 मार्च तक खुला रहेगा। हालांकि यह जल्दी कोरम तक पहुंच गया, लेकिन डाले गए अधिकांश वोट अब विरोध में हैं। अंतिम परिणाम अभी भी किसी भी शेष अघोषित मतदान शक्ति पर निर्भर करता है। अलग से, मूनवेल एक आपातकालीन मल्टीसिग तंत्र बनाए रखता है जिसे "ब्रेक ग्लास गार्जियन" के रूप में जाना जाता है, जो गवर्नेंस प्रक्रिया को ओवरराइड कर सकता है और वोट के परिणाम की परवाह किए बिना निष्पादन से पहले हमलावर की पहुंच को रद्द कर सकता है।
यह घटना कुछ हफ्तों के भीतर मूनवेल पर पड़ने वाली दूसरी बड़ी सुरक्षा विफलता है। फरवरी में, प्रोटोकॉल को पहले एक शोषण का सामना करना पड़ा जब एक दोषपूर्ण ओरेकल — कथित तौर पर एआई मॉडल क्लाउड ओपस 4.6 का उपयोग करके सह-लेखक — ने कॉइनबेस रैप्ड ईटीएच (cbETH) का मूल्य उसके वास्तविक बाजार मूल्य लगभग $2,200 के बजाय लगभग $1 पर गलत बताया, जिससे लगभग $1.78 मिलियन का खराब ऋण उत्पन्न हुआ।
गवर्नेंस हमले विकेन्द्रीकृत वित्त के लिए नए नहीं हैं, लेकिन वे खुले भागीदारी और प्रोटोकॉल सुरक्षा के बीच तनाव को उजागर करना जारी रखते हैं। 2022 का बीनस्टॉक फ्लैश ऋण हमला इस वेक्टर का सबसे नाटकीय उदाहरण बना हुआ है, जिसमें एक हमलावर ने एक ही लेनदेन में एक धोखाधड़ी प्रस्ताव पारित करने के लिए अस्थायी रूप से पर्याप्त मतदान शक्ति जमा करने के लिए फ्लैश ऋण का उपयोग करके $180 मिलियन से अधिक की निकासी की। कंपाउंड फाइनेंस और अब-निष्क्रिय स्वर्व फाइनेंस को भी केंद्रित टोकन संचय द्वारा संचालित इसी तरह के विवादित गवर्नेंस एपिसोड का सामना करना पड़ा है।
मूनवेल मामले को जो अलग करता है वह इसकी कच्ची लागत दक्षता है। कोई फ्लैश ऋण की आवश्यकता नहीं थी — बस कम-तरलता वाले टोकन पर एक मामूली खुले बाजार की खरीद, और एक गवर्नेंस प्रणाली जिसमें शत्रुतापूर्ण प्रस्ताव को धीमा करने के लिए सर्किट ब्रेकर की कमी थी।
मूनवेल समुदाय और टीम अब 27 मार्च की वोट समय-सीमा के खिलाफ दौड़ रहे हैं। परिणाम यह जांच करेगा कि क्या ब्रेक ग्लास गार्जियन तंत्र और जैविक मतदाता विरोध प्रस्ताव के निष्पादन तक पहुंचने से पहले खतरे को बेअसर कर सकते हैं।
