Moonwell 攻擊者花費 1,808 美元通過治理提案控制權

一名攻擊者花費約$1,808購買了4000萬MFAM治理代幣，並推動一項惡意提案，如果執行，將授予其對Moonwell的七個借貸市場和核心智能合約的完全控制權，從而能夠提取超過$1百萬的用戶資金。

該提案標題為「MIP-R39：協議恢復 - 管理員遷移」，於2026年3月24日提交，投票將於3月28日結束。Moonwell是一個多鏈借貸協議，總鎖倉價值約為$8500萬，現在正面臨其去中心化治理安全措施的關鍵考驗，社群成員正努力阻止此次接管。

區塊鏈情報公司Blockful警告稱，攻擊者可能持有額外未披露的MFAM錢包，可能在最後一刻用來翻轉投票，建議Moonwell的多簽簽名者啟用「Break Glass Guardian」來將管理權從攻擊者手中轉移。

攻擊機制與潛在影響

低成本治理利用

攻擊者以約$0.000025每個的價格購買了4000萬MFAM代幣，花費約$1,808達到提交治理提案的門檻。攻擊者使用智能合約來獲取這些代幣，Blockful指出該合約包含惡意代碼，旨在自動化在提案執行時提取協議流動性的步驟。

控制範圍

如果成功，該提案將使攻擊者完全控制Moonwell的七個市場、協議的核心智能合約，並能提取超過$1百萬的用戶資金。該協議運行在Moonbeam（Polkadot的平行鏈）和Moonriver（Polkadot開發者網絡Kusama上的相應網絡）上。

當前狀況與防禦措施

投票活動

截至3月26日，約68%的投票反對該提案。然而，Blockful警告稱，攻擊者可能持有額外未披露的MFAM錢包，可能在截止日前用來翻轉投票。

建議的安全措施

Blockful建議Moonwell的多簽簽名者啟用「Break Glass Guardian」，這是一個防禦機制，能將管理權從攻擊者手中轉移，確保用戶資金安全，不論投票結果如何。「由於攻擊者仍可能持有隱藏錢包，準備在最後一刻投票反對，我們建議核心團隊使用Guardian來保障用戶資金安全，」Blockful表示。

更廣泛的背景：DAO治理漏洞

先例案例

Moonwell事件加入了去中心化金融中越來越多的治理利用和爭議行為：

• Compound Finance（2024）：由化名用戶Humpy領導的一組投資者積累了足夠的治理代幣，強行通過一項提案，將約$2400萬從項目金庫轉移到私人金庫。最終達成了停火協議。
• Aave（2025年12月）：發現與CoW Swap的整合產生的費用被直接導向Aave Labs，這一決策未經借貸協議的DAO批准。

低價值代幣的風險

Moonwell攻擊突顯了依賴低價值代幣的治理系統的特定漏洞。攻擊者通過購買大量廉價代幣，能夠滿足法定人數要求，並提交惡意提案，幾乎不需大量資金。

常見問題解答

攻擊者是如何取得Moonwell治理控制權的？

攻擊者花費約$1,808購買了4000萬MFAM代幣，利用這些代幣提交一項提案，該提案將控制權轉移到Moonwell的市場和核心智能合約，並包含惡意代碼，一旦提案通過，將自動提取用戶資金。

該提案目前的狀況如何？

投票將於3月28日結束。截至3月26日，約68%的投票反對該提案。然而，安全分析師警告稱，攻擊者可能持有額外未披露的錢包，可能在最後一刻用來翻轉投票。

可以採取哪些措施來阻止攻擊？

安全公司Blockful建議，Moonwell的多簽簽名者啟用「Break Glass Guardian」機制，這將在任何情況下將管理權從攻擊者手中轉移，確保用戶資金安全。