一名攻擊者花費約1,800美元購買MFAM代幣,以推動一項惡意Moonwell提案,該提案可能奪取七個市場的控制權和108萬美元的資產,藉此考驗其否決權和治理防禦機制。
一名不明攻擊者於3月26日花費約1,800美元購買了約4,000萬枚MFAM代幣,並在Moonwell的Moonriver部署上強行通過了一項惡意治理提案——整個過程僅耗時約11分鐘,使約108萬美元的用戶資金面臨風險。
據The Block報導,攻擊者的提案(編號MIP-R39)旨在將七個借貸市場、控制者合約和價格預言機的管理權轉移到攻擊者控制的合約。獲得該存取權將有效讓攻擊者隨意抽乾協議的資金池。Moonwell是一個運行在波卡生態系統中兩個平行鏈Moonbeam和Moonriver上的DeFi借貸協議,用戶可以在其中存入資產以賺取收益或抵押借款。
這次攻擊針對的是代幣化治理固有的結構性弱點:當協議的治理代幣交易價格低迷且投票參與率不高時,不良行為者便能以相對較少的資金獲取足夠的投票權來通過提案。正是這種動態使得這次攻擊成為可能——1,800美元的MFAM代幣足以達到法定人數,並在有意義的反對意見動員起來之前鎖定有利的投票。
該提案的投票將持續開放至3月27日。儘管它迅速達到了法定人數,但大多數已投出的票現在都表示反對。最終結果仍取決於任何尚未聲明的投票權。此外,Moonwell維護著一個稱為「打破玻璃守護者」(Break Glass Guardian)的緊急多重簽名機制,無論投票結果如何,該機制都可以在執行前覆蓋治理流程並撤銷攻擊者的存取權。
這起事件是Moonwell在幾週內遭遇的第二次重大安全漏洞。今年2月,該協議曾因一個故障的預言機而遭受過一次攻擊——據報導,該預言機是使用AI模型Claude Opus 4.6共同編寫的——它將Coinbase Wrapped ETH (cbETH) 的價格錯誤地標示為接近1美元,而非其實際市場價值約2,200美元,導致產生了約178萬美元的壞帳。
治理攻擊對於去中心化金融來說並非新鮮事,但它們不斷暴露出開放參與和協議安全性之間的緊張關係。2022年的Beanstalk閃電貸攻擊仍然是這類攻擊中最具戲劇性的例子,攻擊者透過使用閃電貸,在單一交易中暫時累積了足夠的投票權以通過一項欺詐性提案,從而竊取了超過1.8億美元。Compound Finance和現已解散的Swerve Finance也曾面臨類似的、由集中代幣累積驅動的有爭議治理事件。
Moonwell案例的獨特之處在於其極高的成本效益。它不需要閃電貸——只需在流動性低的代幣上進行適度的公開市場購買,以及一個缺乏斷路器來減緩惡意提案的治理系統。
Moonwell社群和團隊現在正在與3月27日的投票截止日期賽跑。結果將考驗「打破玻璃守護者」機制和自發的投票反對是否能在提案執行前化解威脅。
