Isang umaatake ang gumastos ng humigit-kumulang $1,800 sa MFAM upang itulak ang isang malisyosong panukala ng Moonwell na maaaring umagaw sa kontrol ng pitong pamilihan at $1.08 milyon na asset, sinusubukan ang mga depensa nito sa pagbawi at pamamahala.
Isang hindi kilalang umaatake noong Marso 26 ang gumastos ng humigit-kumulang $1,800 upang makakuha ng humigit-kumulang 40 milyong MFAM token at mabilis na naisakatuparan ang isang malisyosong panukala sa pamamahala sa Moonriver deployment ng Moonwell — nakumpleto ang buong proseso sa humigit-kumulang 11 minuto at naglalagay ng humigit-kumulang $1.08 milyon na pondo ng user sa panganib.
Ayon sa ulat ng The Block, ang panukala ng umaatake, nakalista bilang MIP-R39, ay naghahangad na ilipat ang mga karapatang pang-administratibo sa pitong pamilihan ng pagpapahiram, ang kontrata ng comptroller, at ang price oracle sa isang kontratang nasa ilalim ng kontrol ng umaatake. Ang pagkakaroon ng access na iyon ay epektibong magpapahintulot sa umaatake na alisan ng laman ang mga pool ng protocol sa kanyang kagustuhan. Ang Moonwell ay isang DeFi lending protocol na gumagana sa Moonbeam at Moonriver, dalawang parachain sa loob ng ekosistema ng Polkadot, kung saan ang mga user ay nagdedeposito ng mga asset upang kumita ng yield o umutang laban sa collateral.
Ang exploit ay tumatarget sa isang structural weakness na endemic sa token-based governance: kapag ang governance token ng isang protocol ay nakikipagkalakalan sa mababang presyo at manipis ang partisipasyon ng botante, maaaring makakuha ang isang masamang aktor ng sapat na boto upang makapagpasa ng mga panukala na may kaunting kapital. Ang dinamikong iyon ang eksaktong nagpapaganap sa pag-atake — ang $1,800 na halaga ng MFAM ay sapat upang maabot ang quorum at mai-lock ang isang paborableng boto bago makakilos ang makabuluhang oposisyon.
Bukas pa rin ang pagboto sa panukala hanggang Marso 27. Bagama't mabilis itong umabot sa quorum, karamihan sa mga ibinotong boto ay sumasalungat na ngayon. Ang huling resulta ay nakasalalay pa rin sa anumang natitirang hindi naideklarang kapangyarihan sa pagboto. Hiwalay, pinananatili ng Moonwell ang isang mekanismo ng emergency multisig na kilala bilang “Break Glass Guardian,” na maaaring balewalain ang proseso ng pamamahala at bawiin ang access ng umaatake bago ang pagpapatupad anuman ang resulta ng boto.
Ang insidente ay ang pangalawang malaking pagkabigo sa seguridad na tumama sa Moonwell sa loob ng ilang linggo. Noong Pebrero, dumanas ang protocol ng isang nakaraang exploit nang ang isang may sira na oracle — naiulat na co-authored gamit ang AI model na Claude Opus 4.6 — ay mali ang pagpepresyo sa Coinbase Wrapped ETH (cbETH) sa malapit sa $1 sa halip na ang aktwal na halaga nito sa merkado na humigit-kumulang $2,200, na bumuo ng humigit-kumulang $1.78 milyon sa bad debt.
Ang mga pag-atake sa pamamahala ay hindi bago sa decentralized finance, ngunit patuloy nilang inilalantad ang tensyon sa pagitan ng bukas na partisipasyon at seguridad ng protocol. Ang 2022 Beanstalk flash loan attack ay nananatiling pinakamadramang halimbawa ng vector, na may isang umaatake na nag-drain ng mahigit $180 milyon sa pamamagitan ng paggamit ng flash loan upang pansamantalang makakakuha ng sapat na kapangyarihan sa pagboto upang makapagpasa ng isang mapanlinlang na panukala sa isang solong transaksyon. Ang Compound Finance at ang ngayon ay wala nang Swerve Finance ay nakaharap din ng katulad na pinagtatalunang mga episode ng pamamahala na dulot ng puro na akumulasyon ng token.
Ang nagtatangi sa kaso ng Moonwell ay ang purong cost efficiency. Walang flash loan na kinailangan — isang katamtamang pagbili sa open-market sa isang token na mababa ang liquidity, at isang sistema ng pamamahala na walang mga circuit breaker upang pabagalin ang isang hostile na panukala.
Ang komunidad at koponan ng Moonwell ay nagmamadali ngayon bago ang deadline ng pagboto sa Marso 27. Susubukan ng resulta kung ang mekanismo ng Break Glass Guardian at ang organic na oposisyon ng mga botante ay kayang neutralisahin ang banta bago maipatupad ang panukala.
