Атака на Moonwell: $1800 подставили под удар $1 млн

• 1 800 долларов США было потрачено на покупку около 40 миллионов токенов MFAM, что позволило инициировать атаку на систему управления.
• 1,08 млн долларов пользовательских средств находятся под угрозой на семи рынках кредитования в сети Moonriver.
• Голосование продлится до 27 марта, при этом экстренный механизм протокола Break Glass Guardian готов вмешаться для отмены вредоносного предложения.

Эксплуатация уязвимости управления

Неизвестный злоумышленник совершил низкозатратную атаку на систему управления Moonwell, децентрализованного кредитного протокола в экосистеме Polkadot. Затратив всего 1 800 долларов на приобретение 40 миллионов токенов MFAM, атакующий смог обойти пороги управления протокола. Весь процесс — от покупки токенов до создания и принятия вредоносного предложения — занял всего 11 минут.

Предложение направлено на захват административного контроля над основными контрактами протокола в сети Moonriver. В случае успеха контроль над семью рынками кредитования, контроллером (comptroller) и оракулом перейдет к контракту, управляемому злоумышленником. Это фактически позволит вывести ликвидность из протокола.

Угроза средствам и механизмы защиты

По данным ончейн-анализа, под угрозой находятся активы пользователей на сумму около 1,08 млн долларов. Из-за низкой ликвидности и концентрации голосов предложение быстро набрало необходимый кворум. Однако, согласно последним данным, настроения сообщества изменились: большинство держателей токенов теперь голосуют против, чтобы защитить казну.

Для предотвращения реализации предложения есть два основных пути:

• Протестное голосование сообщества: Держатели токенов могут мобилизоваться, чтобы количество голосов «против» превысило долю злоумышленника до дедлайна 27 марта.
• Экстренное вмешательство: Специальный мультисиг-орган, известный как Break Glass Guardian, имеет право вмешаться, отменить результаты голосования и лишить злоумышленника административного доступа.

Структурные риски и предыдущие инциденты

Данный инцидент подчеркивает системную проблему DeFi-сектора, где токены управления могут быть использованы во вред при их неравномерном распределении. Хотя атака на Beanstalk в 2022 году на сумму 180 млн долларов остается одной из крупнейших, случай Moonwell примечателен крайне низкой стоимостью атаки для создания угрозы миллионному фонду. Ранее с подобными проблемами сталкивались Compound и Swerve Finance.

Кризис безопасности произошел после другого сложного периода для Moonwell: в феврале протокол понес убытки в размере 1,8 млн долларов в виде безнадежных долгов из-за ошибки в конфигурации оракула для Coinbase Wrapped ETH (cbETH). Новая атака создает дополнительное давление на систему безопасности проекта, работающего в сетях Moonbeam и Moonriver.