Un attaquant dépense 1 800 $ pour menacer 1 M$ lors d'une attaque de gouvernance Moonwell

1 800 $ dépensés mettent 1 million de dollars en péril

Un attaquant a exposé une vulnérabilité critique dans le protocole de prêt Moonwell en dépensant seulement 1 808 $ pour lancer une proposition de gouvernance hostile. Mardi, l'individu a acheté 40 millions de jetons MFAM, le jeton de gouvernance du protocole, au prix de 0,000025 $. Cet achat a fourni suffisamment de pouvoir de vote pour soumettre la proposition « MIP-R39 : Récupération du protocole – Migration de l'administrateur ».

Si le vote est adopté, l'attaquant obtiendrait un contrôle administratif complet sur les contrats intelligents centraux de Moonwell et ses sept marchés de prêt. Ce contrôle permettrait le drainage direct de plus d'un million de dollars de fonds d'utilisateurs du protocole, qui détient actuellement environ 85 millions de dollars en valeur totale verrouillée (TVL).

La communauté se mobilise avec 68% d'opposition à la prise de contrôle

La communauté Moonwell a réagi pour défendre le protocole, avec une activité de vote montrant 68% des votes exprimés contre la proposition malveillante en date de jeudi. Cependant, la firme de renseignement blockchain Blockful a averti que l'attaquant pourrait détenir des jetons MFAM supplémentaires dans des portefeuilles non identifiés, potentiellement pour faire basculer le vote dans les derniers instants avant qu'il ne se termine vendredi.

En guise de défense plus robuste, Blockful a recommandé à l'équipe principale de Moonwell d'utiliser sa fonction « Break Glass Guardian ». Cette mesure de sécurité d'urgence permettrait aux signataires multi-sig du protocole de déplacer les pouvoirs administratifs hors du contrat de gouvernance, neutralisant ainsi la menace quel que soit le résultat du vote et protégeant les fonds des utilisateurs.

L'attaque expose les failles systémiques de la gouvernance DeFi

L'incident Moonwell souligne un vecteur d'attaque persistant et dangereux au sein des organisations autonomes décentralisées (DAO). La capacité d'influencer ou de contrôler un protocole avec un investissement en capital relativement faible révèle la fragilité des modèles de gouvernance qui reposent uniquement sur la propriété des jetons pour la sécurité. Cet événement n'est pas isolé et fait suite à des défis de gouvernance similaires observés dans d'autres protocoles DeFi majeurs.

Début 2024, un groupe d'investisseurs a accumulé suffisamment de jetons pour presque déplacer 24 millions de dollars du trésor de Compound Finance vers un coffre-fort privé avant qu'une trêve ne soit conclue. Séparément, un différend au sein de la communauté Aave a révélé que les frais de protocole étaient acheminés vers une entité corporative sans l'approbation de la DAO. Ces événements démontrent collectivement que la gouvernance basée sur les jetons reste une expérience fastidieuse avec des risques de sécurité et structurels importants.