Saldırgan, Moonwell Yönetişim Saldırısında 1.800 Dolar Harcayarak 1 Milyon Doları Tehdit Ediyor

1.800 Dolarlık Satın Alma 1 Milyon Doları Riske Atıyor

Bir saldırgan, Moonwell borç verme protokolündeki kritik bir güvenlik açığını, yalnızca 1.808 dolar harcayarak düşmanca bir yönetişim teklifi başlatarak ortaya çıkardı. Salı günü, söz konusu kişi, protokolün yönetişim tokenı olan 40 milyon MFAM tokenını 0.000025 dolardan satın aldı. Bu satın alma, "MIP-R39: Protokol Kurtarma - Yönetici Geçişi" teklifini sunmak için yeterli oy gücü sağladı.

Eğer oylama geçerse, saldırgan Moonwell'in çekirdek akıllı sözleşmeleri ve yedi borç verme piyasası üzerinde tam idari kontrol elde edecektir. Bu kontrol, şu anda yaklaşık 85 milyon dolar toplam kilitli değere (TVL) sahip olan protokolden 1 milyon dolardan fazla kullanıcı fonunun doğrudan boşaltılmasını sağlayacaktır.

Topluluk Harekete Geçti: %68 Devralmaya Karşı

Moonwell topluluğu protokolü savunmak için harekete geçti ve Perşembe itibarıyla oylama faaliyetleri, kötü niyetli teklife karşı kullanılan oyların %68'ini gösterdi. Ancak, blockchain istihbarat firması Blockful, saldırganın tanımlanmamış cüzdanlarda ek MFAM tokenları tutabileceği ve Cuma günü sona ermeden önceki son anlarda oylamayı kendi lehine çevirebileceği konusunda uyardı.

Daha sağlam bir savunma olarak Blockful, Moonwell'in çekirdek ekibinin “Break Glass Guardian” işlevini kullanmasını önerdi. Bu acil durum güvenlik önlemi, protokolün çoklu imza sahiplerinin idari yetkileri yönetişim sözleşmesinden uzaklaştırmasına olanak tanıyacak ve böylece oylama sonucundan bağımsız olarak tehdidi etkisiz hale getirerek kullanıcı fonlarını koruyacaktır.

Saldırı Sistematik DeFi Yönetişim Kusurlarını Ortaya Koyuyor

Moonwell olayı, merkeziyetsiz özerk kuruluşlarda (DAO'lar) devam eden tehlikeli bir saldırı vektörünü vurgulamaktadır. Nispeten küçük bir sermaye harcamasıyla bir protokolü etkileme veya kontrol etme yeteneği, güvenlik için tamamen token sahipliğine dayanan yönetişim modellerinin kırılganlığını ortaya koymaktadır. Bu olay münferit değildir ve diğer büyük DeFi protokollerinde görülen benzer yönetişim sorunlarını takip etmektedir.

2024 yılının başlarında, bir grup yatırımcı, Compound Finance'in hazinesinden 24 milyon doları özel bir kasaya neredeyse aktaracak kadar token biriktirmişti, ancak daha sonra bir anlaşmaya varıldı. Ayrı olarak, Aave topluluğu içindeki bir anlaşmazlık, protokol ücretlerinin DAO onayı olmadan kurumsal bir varlığa yönlendirildiğini ortaya koydu. Bu olaylar toplu olarak, token tabanlı yönetişimin, önemli güvenlik ve yapısal risklerle dolu zahmetli bir deney olmaya devam ettiğini göstermektedir.