Kẻ tấn công chi 1.800 USD đe dọa 1 triệu USD trong cuộc tấn công quản trị Moonwell

1.800 USD Đặt 1 Triệu USD vào Rủi ro

Một kẻ tấn công đã phơi bày một lỗ hổng nghiêm trọng trong giao thức cho vay Moonwell bằng cách chỉ chi 1.808 USD để khởi động một đề xuất quản trị thù địch. Vào thứ Ba, cá nhân này đã mua 40 triệu token MFAM, token quản trị của giao thức, với giá 0,000025 USD. Việc mua này cung cấp đủ quyền biểu quyết để gửi đề xuất "MIP-R39: Phục hồi Giao thức - Di chuyển Quản trị viên".

Nếu cuộc bỏ phiếu được thông qua, kẻ tấn công sẽ giành quyền kiểm soát hành chính hoàn toàn đối với các hợp đồng thông minh cốt lõi của Moonwell và bảy thị trường cho vay của nó. Quyền kiểm soát này sẽ cho phép rút trực tiếp hơn 1 triệu USD tiền của người dùng khỏi giao thức, hiện đang nắm giữ khoảng 85 triệu USD tổng giá trị bị khóa (TVL).

Cộng đồng huy động 68% phản đối việc tiếp quản

Cộng đồng Moonwell đã phản ứng để bảo vệ giao thức, với hoạt động bỏ phiếu cho thấy 68% số phiếu đã được bỏ chống lại đề xuất độc hại tính đến thứ Năm. Tuy nhiên, công ty tình báo blockchain Blockful đã cảnh báo rằng kẻ tấn công có thể nắm giữ thêm token MFAM trong các ví không xác định, có khả năng xoay chuyển cuộc bỏ phiếu vào những khoảnh khắc cuối cùng trước khi nó kết thúc vào thứ Sáu.

Như một biện pháp phòng thủ mạnh mẽ hơn, Blockful đã khuyến nghị nhóm cốt lõi của Moonwell sử dụng chức năng "Người bảo vệ khẩn cấp (Break Glass Guardian)". Biện pháp an ninh khẩn cấp này sẽ cho phép những người ký đa chữ ký của giao thức di chuyển quyền quản trị ra khỏi hợp đồng quản trị, từ đó vô hiệu hóa mối đe dọa bất kể kết quả bỏ phiếu và bảo vệ tiền của người dùng.

Cuộc tấn công phơi bày các sai sót quản trị DeFi có hệ thống

Sự cố Moonwell nhấn mạnh một vectơ tấn công dai dẳng và nguy hiểm trong các tổ chức tự trị phi tập trung (DAO). Khả năng ảnh hưởng hoặc kiểm soát một giao thức với một khoản đầu tư vốn tương đối nhỏ cho thấy sự mong manh của các mô hình quản trị chỉ dựa vào quyền sở hữu token để bảo mật. Sự kiện này không phải là cá biệt và theo sau các thách thức quản trị tương tự đã thấy trong các giao thức DeFi lớn khác.

Đầu năm 2024, một nhóm nhà đầu tư đã tích lũy đủ token để gần như chuyển 24 triệu USD từ kho bạc của Compound Finance vào một kho tiền riêng trước khi đạt được một thỏa thuận ngừng bắn. Riêng biệt, một tranh chấp trong cộng đồng Aave đã tiết lộ rằng phí giao thức đang được chuyển đến một thực thể công ty mà không có sự chấp thuận của DAO. Những sự kiện này tổng thể chứng minh rằng quản trị dựa trên token vẫn là một thử nghiệm đau đớn với các rủi ro bảo mật và cấu trúc đáng kể.