Một kẻ tấn công đã chi khoảng 1.800 đô la cho token MFAM để thúc đẩy một đề xuất độc hại trên Moonwell, có thể chiếm quyền kiểm soát bảy thị trường và 1,08 triệu đô la tài sản, thử thách cơ chế phủ quyết và phòng thủ quản trị của giao thức này.
Một kẻ tấn công không xác định vào ngày 26 tháng 3 đã chi khoảng 1.800 đô la để mua khoảng 40 triệu token MFAM và thúc đẩy nhanh chóng một đề xuất quản trị độc hại trên nền tảng Moonriver của Moonwell — hoàn thành toàn bộ trình tự trong khoảng 11 phút và đặt khoảng 1,08 triệu đô la tiền của người dùng vào rủi ro.
Theo báo cáo của The Block, đề xuất của kẻ tấn công, được liệt kê là MIP-R39, tìm cách chuyển quyền quản trị đối với bảy thị trường cho vay, hợp đồng bộ điều khiển (comptroller contract) và oracle giá sang một hợp đồng dưới sự kiểm soát của kẻ tấn công. Việc có được quyền truy cập đó sẽ cho phép kẻ tấn công rút sạch các pool của giao thức tùy ý. Moonwell là một giao thức cho vay DeFi hoạt động trên Moonbeam và Moonriver, hai parachain trong hệ sinh thái Polkadot, nơi người dùng gửi tài sản để kiếm lợi nhuận hoặc vay bằng tài sản thế chấp.
Cuộc tấn công nhắm vào một lỗ hổng cấu trúc cố hữu của quản trị dựa trên token: khi token quản trị của một giao thức giao dịch ở mức giá thấp và tỷ lệ tham gia bỏ phiếu mỏng, một kẻ xấu có thể mua đủ trọng lượng biểu quyết để thông qua các đề xuất với tương đối ít vốn. Động lực đó chính xác là điều đã khiến cuộc tấn công trở nên khả thi — 1.800 đô la giá trị MFAM đã đủ để đạt ngưỡng biểu quyết (quorum) và chốt một phiếu bầu thuận lợi trước khi phe đối lập có ý nghĩa có thể huy động.
Việc bỏ phiếu về đề xuất này vẫn mở cho đến ngày 27 tháng 3. Mặc dù nó đã đạt ngưỡng biểu quyết nhanh chóng, phần lớn các phiếu bầu hiện đang phản đối. Kết quả cuối cùng vẫn phụ thuộc vào bất kỳ quyền biểu quyết chưa được công bố nào còn lại. Riêng biệt, Moonwell duy trì một cơ chế đa chữ ký khẩn cấp được gọi là “Break Glass Guardian”, có thể ghi đè quy trình quản trị và thu hồi quyền truy cập của kẻ tấn công trước khi thực thi bất kể kết quả bỏ phiếu.
Sự cố này là thất bại bảo mật lớn thứ hai xảy ra với Moonwell trong vòng vài tuần. Vào tháng 2, giao thức đã gặp phải một cuộc tấn công trước đó khi một oracle bị lỗi — được cho là đồng sáng tạo bằng mô hình AI Claude Opus 4.6 — đã định giá sai Coinbase Wrapped ETH (cbETH) ở mức gần 1 đô la thay vì giá trị thị trường thực tế khoảng 2.200 đô la, tạo ra khoảng 1,78 triệu đô la nợ xấu.
Các cuộc tấn công quản trị không phải là mới lạ đối với tài chính phi tập trung, nhưng chúng tiếp tục bộc lộ sự căng thẳng giữa sự tham gia mở và bảo mật giao thức. Cuộc tấn công cho vay nhanh (flash loan) Beanstalk năm 2022 vẫn là ví dụ kịch tính nhất về kiểu tấn công này, với một kẻ tấn công rút hơn 180 triệu đô la bằng cách sử dụng khoản vay nhanh để tạm thời tích lũy đủ quyền biểu quyết để thông qua một đề xuất gian lận trong một giao dịch duy nhất. Compound Finance và Swerve Finance đã ngừng hoạt động cũng đã đối mặt với các sự kiện quản trị gây tranh cãi tương tự do việc tích lũy token tập trung.
Điều làm cho trường hợp Moonwell khác biệt là hiệu quả chi phí thô. Không cần khoản vay nhanh nào — chỉ là một giao dịch mua khiêm tốn trên thị trường mở đối với một token có tính thanh khoản thấp, và một hệ thống quản trị thiếu các cơ chế ngắt mạch để làm chậm một đề xuất thù địch.
Cộng đồng và đội ngũ Moonwell hiện đang chạy đua với thời hạn bỏ phiếu 27 tháng 3. Kết quả sẽ kiểm tra xem liệu cơ chế Break Glass Guardian và sự phản đối tự nhiên của cử tri có thể vô hiệu hóa mối đe dọa trước khi đề xuất được thực thi.
