Злоумышленник потратил $1 808, чтобы вынести на голосование захват протокола Moonwell

На подготовку предложения по управлению, которое фактически передаёт весь протокол Moonwell в чужие руки, злоумышленнику понадобилось 11 минут и $1 808. Moonwell — мультичейн-протокол кредитования, обеспечивающий ликвидность для экосистем Moonbeam и Moonriver. По данным DefiLlama, общий объём заблокированной стоимости (TVL) составляет около $85 млн. Moonbeam — парачейн в сети Polkadot, Moonriver — аналогичная сеть в Kusama, ориентированной на разработчиков. В случае принятия предложения атакующий получил бы полный контроль над ключевыми элементами протокола, включая семь рынков и основной смарт-контракт. По оценке компании Blockful, занимающейся блокчейн-аналитикой, это также откроет возможность вывести свыше $1 млн средств пользователей. Голосование завершится в пятницу. Держатели MFAM — токена управления Moonwell — всё ещё могут проголосовать против, чтобы заблокировать инициативу. По состоянию на четверг 68% поданных голосов — против. В Blockful при этом предупреждают: у злоумышленника могут быть дополнительные неидентифицированные кошельки с MFAM, которые он способен задействовать. Вместо ожидания исхода голосования Blockful рекомендует подписантам multisig Moonwell оперативно вывести админ-права из-под потенциального контроля атакующего, применив защитный механизм, который в обсуждениях на форуме называют "Break Glass Guardian". "Поскольку у атакующего могут оставаться скрытые кошельки, готовые проголосовать в последнем блоке при наличии оппозиции, мы рекомендуем основной команде использовать Guardian, чтобы гарантировать безопасность средств пользователей", — написала компания в четверг. DAO-управление Управление криптопротоколами через децентрализованные сообщества давно остаётся сложным экспериментом. В 2024 году группа инвесторов Compound Finance во главе с пользователем под псевдонимом Humpy накопила достаточно токенов управления, чтобы протолкнуть предложение о переводе примерно $24 млн из казны проекта в частное хранилище. В итоге Humpy пошёл на компромисс и вернул токены. Недавно спор внутри сообщества Aave вновь поднял вопрос о том, чем фактически владеет децентрализованная автономная организация. В декабре выяснилось, что комиссии от интеграции с DEX CoW Swap направлялись напрямую в Aave Labs — решение, не одобренное DAO кредитного протокола. История с Moonwell показывает ещё одну уязвимость: использование дешёвых токенов для захвата управления. Разбор атаки По данным Blockful, атакующий купил 40 млн токенов MFAM, чтобы внести предложение и затем обеспечить прохождение кворума. При цене токена $0,000025 до покупки затраты составили около $1 800: во вторник было подано предложение "MIPR39: Protocol Recovery Admin Migration". Токены, как утверждается, приобретались через смарт-контракт. Blockful также заявила, что смарт-контракт содержал вредоносный код, который автоматизирует шаги, необходимые для вывода ликвидности из протокола. "Это предложение очевидно является атакой", — написала компания в среду. "Контракт предложения, который получит владение рынками в случае исполнения, уже включает транзакции, необходимые для их эксплуатации". Blockful и Moonwell оперативно не ответили на запросы о комментарии. Лиам Келли — корреспондент DL News по DeFi в Берлине. Сообщить информацию можно по адресу liam@dlnews.com.