Atakujący wydał około 1800 USD na MFAM, aby przeforsować złośliwą propozycję Moonwell, która mogłaby przejąć kontrolę nad siedmioma rynkami i aktywami o wartości 1,08 mln USD, testując mechanizmy weta i obrony zarządzania.
Nieznany atakujący 26 marca wydał około 1800 USD na zakup około 40 milionów tokenów MFAM i przeforsował złośliwą propozycję zarządzania we wdrożeniu Moonwell na Moonriver — kończąc całą sekwencję w około 11 minut i narażając na ryzyko około 1,08 miliona USD środków użytkowników.
Jak donosi The Block, propozycja atakującego, oznaczona jako MIP-R39, dąży do przeniesienia praw administracyjnych nad siedmioma rynkami pożyczkowymi, kontraktem kontrolera i wyrocznią cenową na kontrakt pod kontrolą atakującego. Uzyskanie tego dostępu skutecznie umożliwiłoby atakującemu opróżnienie pul protokołu według własnego uznania. Moonwell to protokół pożyczkowy DeFi działający na Moonbeam i Moonriver, dwóch parachainach w ekosystemie Polkadot, gdzie użytkownicy deponują aktywa, aby zarabiać lub pożyczać pod zabezpieczenie.
Ten atak celuje w strukturalną słabość charakterystyczną dla zarządzania opartego na tokenach: gdy token zarządzania protokołu jest notowany po zaniżonych cenach, a uczestnictwo wyborców jest niskie, zły aktor może nabyć wystarczającą wagę głosów, aby przeforsować propozycje stosunkowo niewielkim kapitałem. Ta dynamika jest dokładnie tym, co umożliwiło atak — 1800 USD wartości MFAM wystarczyło, aby osiągnąć kworum i zabezpieczyć korzystne głosowanie, zanim znacząca opozycja mogła się zmobilizować.
Głosowanie nad propozycją pozostaje otwarte do 27 marca. Chociaż szybko osiągnęło kworum, większość oddanych głosów jest obecnie przeciwna. Ostateczny wynik nadal zależy od pozostałej, niezadeklarowanej siły głosu. Odrębnie, Moonwell utrzymuje awaryjny mechanizm multisig znany jako „Break Glass Guardian”, który może nadpisać proces zarządzania i odwołać dostęp atakującego przed wykonaniem, niezależnie od wyniku głosowania.
Incydent ten jest drugą poważną awarią bezpieczeństwa, która dotknęła Moonwell w ciągu kilku tygodni. W lutym protokół doświadczył wcześniejszego exploitu, gdy wadliwa wyrocznia — rzekomo współtworzona z użyciem modelu AI Claude Opus 4.6 — błędnie wyceniła Coinbase Wrapped ETH (cbETH) na około 1 USD zamiast jego rzeczywistej wartości rynkowej wynoszącej około 2200 USD, generując około 1,78 miliona USD złych długów.
Ataki na zarządzanie nie są nowe w zdecentralizowanych finansach, ale nadal ujawniają napięcie między otwartym uczestnictwem a bezpieczeństwem protokołu. Atak typu flash loan na Beanstalk z 2022 roku pozostaje najbardziej dramatycznym przykładem tego wektora, z atakującym, który opróżnił ponad 180 milionów USD, używając flash loan do tymczasowego zgromadzenia wystarczającej siły głosu, aby przeforsować oszukańczą propozycję w jednej transakcji. Compound Finance i obecnie nieistniejący Swerve Finance również doświadczyły podobnych spornych epizodów zarządzania, napędzanych skoncentrowaną akumulacją tokenów.
To, co wyróżnia przypadek Moonwell, to surowa efektywność kosztowa. Nie były wymagane żadne flash loany — tylko skromny zakup na otwartym rynku na tokenie o niskiej płynności i system zarządzania, któremu brakowało wyłączników awaryjnych, aby spowolnić wrogą propozycję.
Społeczność i zespół Moonwell ścigają się teraz z terminem głosowania 27 marca. Wynik przetestuje, czy mechanizm Break Glass Guardian i oddolny sprzeciw wyborców mogą zneutralizować zagrożenie, zanim propozycja zostanie wykonana.
