CoinFeed
Se connecter
DeFi
DeFi·All

26 mars 2026 à 14:07

Moonwell : une attaque à 1 800 $ menace 1 million $

Moonwell : une attaque à 1 800 $ menace 1 million $
Quick Take
  • 1 800 dollars de capital ont été utilisés pour acquérir environ 40 millions de tokens MFAM, déclenchant une attaque de gouvernance.
  • 1,08 million de dollars de fonds d'utilisateurs sont actuellement menacés sur sept marchés de prêt du réseau Moonriver.
  • Le vote est ouvert jusqu'au 27 mars, et le mécanisme d'urgence du protocole, le "Break Glass Guardian", est prêt à intervenir pour annuler la proposition malveillante.

Exploitation d'une vulnérabilité de gouvernance

Un acteur inconnu a lancé une attaque de gouvernance à faible coût contre Moonwell, un protocole de prêt décentralisé opérant au sein de l'écosystème Polkadot. En dépensant seulement 1 800 dollars pour acheter 40 millions de tokens MFAM, l'attaquant a réussi à franchir les seuils de gouvernance du protocole. L'ensemble du processus — de l'acquisition des jetons à la création et au passage de la proposition malveillante — n'a pris que 11 minutes.

La proposition vise à prendre le contrôle administratif des contrats de base du protocole sur son déploiement Moonriver. En cas de succès, le contrôle de sept marchés de prêt, du contrôleur et de l'oracle serait transféré à un contrat détenu par l'attaquant. Cela lui permettrait de vider les liquidités du protocole.

Risques pour les fonds et mécanismes de défense

Les données on-chain indiquent qu'environ 1,08 million de dollars d'actifs d'utilisateurs sont exposés. En raison d'une faible liquidité et d'un pouvoir de vote concentré, la proposition a rapidement atteint le quorum. Cependant, selon les derniers décomptes, le sentiment de la communauté s'est inversé et une majorité de détenteurs de tokens vote désormais contre la mesure pour protéger la trésorerie.

Deux méthodes principales permettent de stopper l'exécution de la proposition :

  • Mobilisation de la communauté : Les détenteurs de tokens peuvent voter massivement "Non" pour surpasser la position de l'attaquant avant la date limite du 27 mars.
  • Intervention d'urgence : Une entité multisig spécialisée, nommée "Break Glass Guardian", a le pouvoir d'intervenir pour annuler le processus de gouvernance et révoquer les accès de l'attaquant.

Faiblesses structurelles et antécédents

Cet incident met en lumière une faille structurelle récurrente dans la finance décentralisée (DeFi) : les jetons de gouvernance peuvent être détournés lorsque leur distribution est inégale. Si l'attaque contre Beanstalk en 2022 (perte de 180 millions de dollars) reste l'une des plus importantes, le cas de Moonwell frappe par le coût dérisoire nécessaire pour menacer plus d'un million de dollars. D'autres projets comme Compound ou Swerve Finance ont déjà fait face à des tentatives similaires.

Cette crise sécuritaire survient après une période difficile pour Moonwell. En février dernier, le protocole avait subi 1,8 million de dollars de créances douteuses suite à une mauvaise configuration d'oracle impliquant le Coinbase Wrapped ETH (cbETH). Cette nouvelle attaque fragilise davantage le cadre de sécurité du protocole sur Moonbeam et Moonriver.

Quelle est la réaction du marché ?

0%Long/Short100%

commentCount

commentLogin

commentEmpty

commentEmptySubtitle