Edgen Crypto·Mar 26 2026, 17:07悪意のあるアクターが、DeFiレンディングプロトコルMoonwellのガバナンス乗っ取りを開始しました。わずか1,800ドル強のトークン購入を利用して、100万ドル以上のユーザー資金を流出させる可能性のある提案を作成しました。この攻撃は、分散型金融セクター全体で一般的なトークンベースの投票システムにおける重大な脆弱性を露呈しています。
攻撃者はわずか1,808ドルを費やして敵対的なガバナンス提案を立ち上げ、Moonwellレンディングプロトコルの重大な脆弱性を露呈しました。火曜日、この人物はプロトコルのガバナンス・トークンであるMFAMトークン4,000万枚を1枚あたり0.000025ドルで購入しました。この購入により、MIP-R39: プロトコル復旧 - 管理者移行」提案を提出するのに十分な投票権が得られました。
もし投票が可決されれば、攻撃者はMoonwellのコアスマートコントラクトとその7つのレンディング市場に対する完全な管理権限を得ることになります。この管理権限により、現在約8,500万ドルの総ロック価値(TVL)を持つプロトコルから、100万ドル以上のユーザー資金を直接流出させることが可能になります。
Moonwellコミュニティはプロトコルを守るために対応し、木曜日時点で、悪意ある提案に反対する票が68%を占めていることが投票活動で示されています。しかし、ブロックチェーン情報企業Blockfulは、攻撃者が未識別のウォレットに追加のMFAMトークンを保有している可能性があり、金曜日に投票が終了する直前の最終局面で票を動かす可能性があると警告しています。
より強固な防御策として、BlockfulはMoonwellのコアチームに「ブレークグラスガーディアン」機能を使用することを推奨しました。この緊急セキュリティ対策は、プロトコルのマルチシグ署名者がガバナンス契約から管理権限を移動させることを可能にし、それによって投票結果に関わらず脅威を無力化し、ユーザー資金を保護します。
Moonwell事件は、分散型自律組織(DAO)における永続的かつ危険な攻撃ベクトルを浮き彫りにしています。比較的少額の資本投資でプロトコルに影響を与えたり、制御したりする能力は、セキュリティのためにトークン所有権に純粋に依存するガバナンスモデルの脆弱性を示しています。この事件は孤立したものではなく、他の主要なDeFiプロトコルでも見られた同様のガバナンス上の課題に続くものです。
2024年初頭には、一部の投資家グループがCompound Financeの財務から2,400万ドルを私的保管庫に移動させる寸前までトークンを蓄積しましたが、その後和解が成立しました。また、Aaveコミュニティ内の紛争では、DAOの承認なしにプロトコル手数料が企業エンティティに送金されていたことが明らかになりました。これらの出来事は総じて、トークンベースのガバナンスが依然として、重大なセキュリティおよび構造的リスクを伴う骨の折れる実験であることを示しています。
