«Зловмисник витратив близько 1800 доларів на MFAM, щоб просунути зловмисну пропозицію Moonwell, яка могла б захопити контроль над сімома ринками та активами на 1,08 мільйона доларів, випробувавши захист від вето та управління. Підсумок. Невідомий зловмисник витратив лише 1800 доларів США, щоб придбати 40 мільйонів токенів MFAM і проштовхнути зловмисну пропозицію щодо управління через кворум приблизно за 11 хвилин», — пишуть на: www.crypto.news
Зловмисник витратив близько 1800 доларів на MFAM, щоб просунути зловмисну пропозицію Moonwell, яка могла б захопити контроль над сімома ринками та активами на 1,08 мільйона доларів, випробувавши захист від вето та управління.
Резюме
- Невідомий зловмисник витратив лише 1800 доларів США, щоб придбати 40 мільйонів токенів MFAM і проштовхнути зловмисну пропозицію щодо управління через кворум приблизно за 11 хвилин у розгортанні Moonriver від Moonwell.
- Якщо ця пропозиція буде виконана, передасть адміністраторський контроль над сімома кредитними ринками, контролером і оракулом контракту, контрольованому зловмисниками, піддаючи приблизно 1,08 мільйона доларів США коштів користувачів.
- Moonwell зберігає механізм екстреного вето — Multisig «Break Glass Guardian» — і більшість наступних голосів виступили проти цієї пропозиції до кінцевого терміну 27 березня.
26 березня невідомий зловмисник витратив приблизно 1800 доларів США, щоб придбати близько 40 мільйонів токенів MFAM і за допомогою зловмисної пропозиції управління розгортанням Moonriver від Moonwell завершив усю послідовність приблизно за 11 хвилин і поставив під загрозу приблизно 1,08 мільйонів доларів США в коштах користувачів.
Як повідомляє The Block, пропозиція зловмисника, названа як MIP-R39, спрямована на передачу адміністративних прав на сім ринків кредитування, контракт контролера та оракул цін контракту під контролем зловмисника. Отримання цього доступу фактично дозволить зловмиснику вичерпати пули протоколу за бажанням. Moonwell — це протокол кредитування DeFi, що працює на Moonbeam і Moonriver, двох парачейнах в екосистемі Polkadot, де користувачі вносять активи, щоб отримати прибуток, або позичають під заставу.
Експлойт націлений на структурну слабкість, характерну для управління на основі токенів: коли токен управління протоколом торгується за низькими цінами, а участь виборців низька, поганий гравець може отримати достатню вагу для голосування, щоб прийняти пропозиції з відносно невеликим капіталом. Саме ця динаміка зробила атаку можливою — MFAM на суму 1800 доларів було достатньо, щоб досягти кворуму та зафіксувати позитивне голосування, перш ніж значуща опозиція змогла мобілізуватись.
Залишаються в грі два запобіжники
Голосування за пропозицію залишається відкритим до 27 березня. Хоча вона швидко досягла кворуму, більшість поданих голосів тепер проти. Остаточний результат все ще залежить від незаявлених повноважень голосування. Окремо Moonwell підтримує аварійний механізм мультипідпису, відомий як «Break Glass Guardian», який може перевизначати процес управління та відкликати доступ зловмисника перед виконанням, незалежно від результату голосування.
Цей інцидент став другим серйозним збоєм у системі безпеки Moonwell за кілька тижнів. У лютому протокол зазнав попереднього експлойту, коли помилковий оракул — як повідомляється, створений у співавторстві з використанням моделі штучного інтелекту Claude Opus 4.6 — неправильно оцінив Coinbase Wrapped ETH (cbETH) приблизно в 1 долар замість його фактичної ринкової вартості приблизно в 2200 доларів, створивши приблизно 1,78 мільйона доларів безнадійного боргу.
Повторювана вразливість у DeFi
Атаки на управління не є новинкою для децентралізованих фінансів, але вони продовжують виявляти напругу між відкритою участю та безпекою протоколу. Атака флеш-позики Beanstalk у 2022 році залишається найдраматичнішим прикладом цього вектора: зловмисник викачав понад 180 мільйонів доларів, використовуючи миттєву позику, щоб тимчасово накопичити достатню кількість голосів, щоб прийняти шахрайську пропозицію в одній транзакції. Compound Finance і Swerve Finance, які вже не існують, також зіткнулися з подібними спірними епізодами управління, спричиненими концентрованим накопиченням токенів.
Те, що вирізняє випадок Moonwell, – це ефективність витрат. Не було потрібно ніяких екстрених позик — лише скромна покупка на відкритому ринку за низьколіквідний токен і система управління, у якій бракувало автоматичних вимикачів, щоб уповільнити ворожу пропозицію.
Спільнота та команда Moonwell тепер змагаються проти крайнього терміну голосування 27 березня. Результат перевірить, чи зможе механізм Break Glass Guardian і органічна опозиція виборців нейтралізувати загрозу до того, як пропозиція досягне виконання.