一名惡意行為者已對DeFi借貸協議Moonwell發起治理接管,僅透過購買價值約1800美元的代幣,便創建了一項可能耗盡超過100萬美元用戶資金的提案。此次攻擊暴露了去中心化金融領域中普遍存在的基於代幣投票系統的關鍵漏洞。
一名攻擊者僅花費1808美元便啟動了一項敵意治理提案,從而暴露了Moonwell借貸協議的關鍵漏洞。週二,該個體以0.000025美元的價格購買了4000萬枚MFAM代幣,這是該協議的治理代幣。此次購買提供了足夠的投票權,使其能夠提交「MIP-R39:協議恢復 - 管理員遷移」提案。
如果投票通過,攻擊者將獲得對Moonwell核心智能合約及其七個借貸市場的完全管理控制權。此控制權將使其能夠直接從協議中耗盡超過100萬美元的使用者資金,目前該協議的總鎖定價值(TVL)約為8500萬美元。
Moonwell社區已採取行動捍衛該協議,截至週四,投票活動顯示68%的選票反對該惡意提案。然而,區塊鏈情報公司Blockful警告稱,攻擊者可能在未識別的錢包中持有額外MFAM代幣,可能在週五投票結束前的最後時刻扭轉局面。
作為更強大的防禦措施,Blockful建議Moonwell核心團隊使用其「緊急保護(Break Glass Guardian)」功能。這一緊急安全措施將允許協議的多重簽名者將管理權限從治理合約中移走,從而無論投票結果如何都能消除威脅,保護使用者資金。
Moonwell事件突顯了去中心化自治組織(DAO)中一個持續且危險的攻擊向量。以相對較小的資本投入就能影響或控制協議的能力,揭示了純粹依賴代幣所有權來確保安全的治理模型的脆弱性。這一事件並非孤立,此前其他主要DeFi協議也出現過類似的治理挑戰。
2024年初,一群投資者累積了足夠的代幣,差點將Compound Finance金庫中的2400萬美元轉移到一個私人金庫中,之後才達成和解。另外,Aave社區內部的一場爭議暴露了協議費用在未經DAO批准的情況下被路由到一家公司實體。這些事件共同表明,基於代幣的治理仍然是一個艱難的實驗,存在重大的安全和結構性風險。
