一名恶意行为者已对DeFi借贷协议Moonwell发起治理接管,仅通过购买价值约1800美元的代币,便创建了一项可能耗尽超过100万美元用户资金的提案。此次攻击暴露了去中心化金融领域中普遍存在的基于代币投票系统的关键漏洞。
一名攻击者仅花费1808美元便启动了一项敌意治理提案,从而暴露了Moonwell借贷协议的关键漏洞。周二,该个体以0.000025美元的价格购买了4000万枚MFAM代币,这是该协议的治理代币。此次购买提供了足够的投票权,使其能够提交“MIP-R39:协议恢复 - 管理员迁移”提案。
如果投票通过,攻击者将获得对Moonwell核心智能合约及其七个借贷市场的完全管理控制权。此控制权将使其能够直接从协议中耗尽超过100万美元的用户资金,目前该协议的总锁定价值(TVL)约为8500万美元。
Moonwell社区已采取行动捍卫该协议,截至周四,投票活动显示68%的选票反对该恶意提案。然而,区块链情报公司Blockful警告称,攻击者可能在未识别的钱包中持有额外MFAM代币,可能在周五投票结束前的最后时刻扭转局面。
作为更强大的防御措施,Blockful建议Moonwell核心团队使用其“紧急保护(Break Glass Guardian)”功能。这一紧急安全措施将允许协议的多重签名者将管理权限从治理合约中移走,从而无论投票结果如何都能消除威胁,保护用户资金。
Moonwell事件突显了去中心化自治组织(DAO)中一个持续且危险的攻击向量。以相对较小的资本投入就能影响或控制协议的能力,揭示了纯粹依赖代币所有权来确保安全的治理模型的脆弱性。这一事件并非孤立,此前其他主要DeFi协议也出现过类似的治理挑战。
2024年初,一群投资者积累了足够的代币,差点将Compound Finance金库中的2400万美元转移到一个私人金库中,之后才达成和解。另外,Aave社区内部的一场争议暴露了协议费用在未经DAO批准的情况下被路由到一家公司实体。这些事件共同表明,基于代币的治理仍然是一个艰难的实验,存在重大的安全和结构性风险。
