Atacante gasta $1,800 para amenazar $1M en ataque de gobernanza de Moonwell

Compra de $1,800 Pone $1 Millón en Riesgo

Un atacante ha expuesto una vulnerabilidad crítica en el protocolo de préstamo Moonwell al gastar solo $1,808 para lanzar una propuesta de gobernanza hostil. El martes, el individuo compró 40 millones de tokens MFAM, el token de gobernanza del protocolo, a un precio de $0.000025. Esta compra proporcionó suficiente poder de voto para presentar la propuesta "MIP-R39: Recuperación del Protocolo - Migración de Administrador".

Si la votación pasa, el atacante obtendría el control administrativo completo sobre los contratos inteligentes centrales de Moonwell y sus siete mercados de préstamos. Este control permitiría el drenaje directo de más de $1 millón en fondos de usuarios del protocolo, que actualmente posee aproximadamente $85 millones en valor total bloqueado (TVL).

La Comunidad se Moviliza con un 68% Oponiéndose a la Toma de Control

La comunidad de Moonwell ha respondido para defender el protocolo, con una actividad de votación que muestra el 68% de los votos emitidos en contra de la propuesta maliciosa hasta el jueves. Sin embargo, la firma de inteligencia blockchain Blockful ha advertido que el atacante puede tener tokens MFAM adicionales en billeteras no identificadas, potencialmente para inclinar la votación en los momentos finales antes de que concluya el viernes.

Como una defensa más robusta, Blockful ha recomendado que el equipo central de Moonwell utilice su función "Break Glass Guardian". Esta medida de seguridad de emergencia permitiría a los firmantes de múltiples firmas del protocolo mover los poderes administrativos fuera del contrato de gobernanza, neutralizando así la amenaza independientemente del resultado de la votación y salvaguardando los fondos de los usuarios.

El Ataque Expone Fallas Sistémicas en la Gobernanza DeFi

El incidente de Moonwell subraya un vector de ataque persistente y peligroso dentro de las organizaciones autónomas descentralizadas (DAO). La capacidad de influir o controlar un protocolo con un desembolso de capital relativamente pequeño revela la fragilidad de los modelos de gobernanza que dependen puramente de la propiedad de tokens para la seguridad. Este evento no es aislado y sigue desafíos de gobernanza similares vistos en otros protocolos DeFi importantes.

A principios de 2024, un grupo de inversores acumuló suficientes tokens para casi mover $24 millones del tesoro de Compound Finance a una bóveda privada antes de que se llegara a una tregua. Por separado, una disputa dentro de la comunidad Aave reveló que las tarifas del protocolo estaban siendo enrutadas a una entidad corporativa sin la aprobación de la DAO. Estos eventos demuestran colectivamente que la gobernanza basada en tokens sigue siendo un experimento arduo con riesgos de seguridad y estructurales significativos.