Un atacator a cheltuit aproximativ 1.800 de dolari pe MFAM pentru a impinge o propunere Moonwell malițioasă care ar putea prelua controlul asupra șapte piețe și 1,08 milioane de dolari în active, testând mecanismele sale de veto și apărare a guvernanței.
Un atacator necunoscut, pe 26 martie, a cheltuit aproximativ 1.800 de dolari pentru a achiziționa aproximativ 40 de milioane de token-uri MFAM și a forțat o propunere de guvernanță malițioasă pe implementarea Moonwell Moonriver — completând întreaga secvență în aproximativ 11 minute și punând în pericol aproximativ 1,08 milioane de dolari din fondurile utilizatorilor.
Așa cum a raportat The Block, propunerea atacatorului, listată ca MIP-R39, urmărește să transfere drepturile administrative asupra a șapte piețe de împrumut, a contractului controlor și a oracolului de preț către un contract aflat sub controlul atacatorului. Obținerea acestui acces ar permite atacatorului să golească fondurile protocolului după bunul plac. Moonwell este un protocol de împrumut DeFi care operează pe Moonbeam și Moonriver, două parachain-uri în cadrul ecosistemului Polkadot, unde utilizatorii depun active pentru a obține randament sau pentru a împrumuta împotriva colateralului.
Exploatul vizează o slăbiciune structurală endemică guvernanței bazate pe token-uri: atunci când token-ul de guvernanță al unui protocol se tranzacționează la prețuri scăzute și participarea votanților este redusă, un actor malefic poate achiziționa suficientă putere de vot pentru a trece propuneri cu relativ puțin capital. Această dinamică este tocmai ceea ce a făcut atacul posibil — 1.800 de dolari în MFAM au fost suficienți pentru a atinge cvorumul și a asigura un vot favorabil înainte ca o opoziție semnificativă să se poată mobiliza.
Votul asupra propunerii rămâne deschis până pe 27 martie. Deși a atins rapid cvorumul, majoritatea voturilor exprimate sunt acum împotrivă. Rezultatul final depinde încă de orice putere de vot rămasă nedeclarată. Separat, Moonwell menține un mecanism multisig de urgență cunoscut sub numele de „Break Glass Guardian”, care poate anula procesul de guvernanță și revoca accesul atacatorului înainte de execuție, indiferent de rezultatul votului.
Incidentul este a doua defecțiune majoră de securitate care a lovit Moonwell în câteva săptămâni. În februarie, protocolul a suferit un exploit anterior atunci când un oracol defect — se pare că a fost co-scris folosind modelul AI Claude Opus 4.6 — a evaluat greșit Coinbase Wrapped ETH (cbETH) la aproape 1 dolar în loc de valoarea sa reală de piață de aproximativ 2.200 de dolari, generând aproximativ 1,78 milioane de dolari în datorii neperformante.
Atacurile de guvernanță nu sunt noi în finanțele descentralizate, dar ele continuă să expună tensiunea dintre participarea deschisă și securitatea protocolului. Atacul cu împrumut flash din 2022 asupra Beanstalk rămâne cel mai dramatic exemplu al acestui vector, un atacator golind peste 180 de milioane de dolari prin utilizarea unui împrumut flash pentru a acumula temporar suficientă putere de vot pentru a trece o propunere frauduloasă într-o singură tranzacție. Compound Finance și acum defunctul Swerve Finance s-au confruntat, de asemenea, cu episoade similare de guvernanță contestată, determinate de acumularea concentrată de token-uri.
Ceea ce distinge cazul Moonwell este eficiența brută a costurilor. Nu au fost necesare împrumuturi flash — doar o achiziție modestă pe piața liberă a unui token cu lichiditate scăzută și un sistem de guvernanță care nu avea mecanisme de întrerupere pentru a încetini o propunere ostilă.
Comunitatea și echipa Moonwell se întrec acum contra termenului limită de vot din 27 martie. Rezultatul va testa dacă mecanismul Break Glass Guardian și opoziția organică a votanților pot neutraliza amenințarea înainte ca propunerea să ajungă la execuție.