Moonwellにガバナンス攻撃、1800ドルで100万ドルの危機

• 1,800ドルの資金で約4,000万MFAMトークンが取得され、ガバナンス攻撃が仕掛けられました。
• Moonriverネットワーク上の7つの貸付市場において、約108万ドルのユーザー資金が危険にさらされています。
• 投票期限は3月27日で、プロトコルの緊急停止権限を持つ「Break Glass Guardian」が介入を検討しています。

ガバナンスの脆弱性を突いた攻撃

ポルカドット（Polkadot）エコシステム内で稼働する分散型貸付プロトコルMoonwellが、低コストのガバナンス攻撃を受けました。正体不明の攻撃者はわずか1,800ドルを投じて4,000万MFAMトークンを購入し、プロトコルの中核となるスマートコントラクトの管理権限を奪取する悪意のある提案を強行しました。トークンの購入から提案の作成、定足数の確保までにかかった時間はわずか11分でした。

この提案は、Moonriver上の7つの貸付市場、コントローラー（Comptroller）、およびオラクルの管理権を攻撃者が制御するコントラクトに移転することを目指しています。これが実行されると、プロトコル内の資金が流出する恐れがあります。

ユーザー資金への脅威と防衛策

オンチェーンの分析によると、提案が実行された場合、約108万ドルのユーザー資産が流出する可能性があります。流動性の低さと投票権の集中を突いたことで、当初は迅速に定足数に達しましたが、現在はコミュニティによる反対票が上回る展開となっています。

攻撃を阻止するための手段は主に2つあります：

• コミュニティによる否決: トークン保有者が結束し、3月27日の期限までに反対票を投じること。
• 緊急介入: 「Break Glass Guardian」と呼ばれる緊急用マルチシグが介入し、ガバナンスプロセスをオーバーライドして攻撃者の権限を剥奪すること。

構造的課題と過去の事例

今回の事件は、トークン配布の偏りや参加率の低さが、ガバナンスを通じた乗っ取りを容易にするというDeFiの構造的な脆弱性を浮き彫りにしました。2022年にはBeanstalkがフラッシュローンを用いた攻撃で1億8,000万ドルを失っていますが、今回のMoonwellのケースは、わずか数千ドルという極めて低いコストで100万ドル規模の資金が脅かされた点が特徴的です。

Moonwellは今年2月にも、Coinbase Wrapped ETH (cbETH)のオラクル設定ミスにより180万ドルの不良債権が発生したばかりです。今回の騒動は、MoonbeamやMoonriverにおける同プロトコルの安全管理体制にさらなる課題を突きつけています。