Moonwell Diserang, Modal $1.800 Ancam Dana $1 Juta

• Modal $1.800 digunakan untuk mengakuisisi sekitar 40 juta token MFAM, memicu serangan tata kelola (governance attack).
• Dana pengguna senilai $1,08 juta terancam di tujuh pasar pinjaman pada jaringan Moonriver.
• Batas waktu pemungutan suara adalah 27 Maret, dengan entitas darurat "Break Glass Guardian" bersiap untuk membatalkan proposal tersebut.

Eksploitasi Kerentanan Tata Kelola

Seorang aktor tak dikenal telah meluncurkan serangan tata kelola berbiaya rendah terhadap Moonwell, protokol pinjaman terdesentralisasi dalam ekosistem Polkadot. Dengan hanya mengeluarkan $1.800 untuk membeli 40 juta token MFAM, penyerang berhasil melewati ambang batas tata kelola protokol. Seluruh proses—mulai dari pembelian token hingga pembuatan dan persetujuan proposal berbahaya—hanya memakan waktu 11 menit.

Proposal tersebut bertujuan untuk merebut kendali administratif atas infrastruktur inti protokol pada penyebaran Moonriver. Jika berhasil, kendali atas tujuh pasar pinjaman, comptroller, dan oracle akan dipindahkan ke kontrak yang dikendalikan oleh penyerang. Hal ini memungkinkan penyerang untuk menguras likuiditas protokol.

Risiko Dana dan Mekanisme Pertahanan

Data on-chain menunjukkan bahwa sekitar $1,08 juta aset pengguna saat ini terpapar ancaman ini. Karena likuiditas yang tipis dan kekuasaan voting yang terkonsentrasi, proposal tersebut mencapai kuorum dengan cepat. Namun, berdasarkan penghitungan terbaru, sentimen komunitas telah berbalik, dengan mayoritas pemegang token kini memberikan suara menolak untuk melindungi perbendaharaan.

Ada dua metode utama untuk menghentikan eksekusi proposal ini:

• Voting Perlawanan Komunitas: Pemegang token dapat memobilisasi suara "Tidak" agar melebihi kepemilikan penyerang sebelum batas waktu 27 Maret.
• Intervensi Darurat: Entitas multisig khusus yang dikenal sebagai "Break Glass Guardian" memiliki otoritas untuk campur tangan, membatalkan hasil tata kelola, dan mencabut akses administratif penyerang.

Masalah Struktural dan Insiden Sebelumnya

Insiden ini menyoroti kelemahan struktural yang berulang dalam keuangan terdesentralisasi (DeFi), di mana token tata kelola dapat disalahgunakan jika distribusinya tidak merata. Meskipun eksploitasi Beanstalk senilai $180 juta pada tahun 2022 tetap menjadi salah satu serangan tata kelola terbesar, kasus Moonwell menonjol karena biaya serangan yang sangat rendah untuk mengancam dana jutaan dolar. Protokol lain seperti Compound dan Swerve Finance juga pernah menghadapi tantangan serupa.

Krisis keamanan ini menyusul periode sulit bagi Moonwell. Pada bulan Februari lalu, protokol ini mengalami kerugian utang buruk senilai $1,8 juta akibat kesalahan konfigurasi oracle yang melibatkan Coinbase Wrapped ETH (cbETH). Serangan terbaru ini semakin menekan kerangka keamanan protokol saat mereka berusaha menstabilkan operasi di Moonbeam dan Moonriver.