Moonwell遭治理攻击，1800美元成本威胁百万资金

• 攻击者仅花费 1,800 美元 购买了约 4,000 万枚 MFAM 代币，发起了一场治理攻击。
• Moonriver 网络上 7 个借贷市场的约 108 万美元用户资金 面临风险。
• 投票截止日期为 3 月 27 日，该协议的应急多签机制“Break Glass Guardian”可能介入以撤销该提议。

治理漏洞遭到利用

波卡（Polkadot）生态系统中的去中心化借贷协议 Moonwell 遭遇了一场低成本治理攻击。一名未知身份的攻击者利用约 1,800 美元 购入 4,000 万枚 MFAM 代币，足以推动一项旨在获取协议核心合约控制权的恶意提案。整个过程——从购买代币到创建提案并达到法定票数——仅耗时 11 分钟。

该提案目前在 Moonwell 的 Moonriver 部署版本中处于激活状态，意图将 7 个借贷市场、主控合约（Comptroller）以及预言机（Oracle）的管理权限移交给攻击者控制的合约。一旦执行，攻击者将有权提取协议内的用户资金。

资金威胁与防御措施

据链上观察员估计，如果该提案获得通过，约 108 万美元 的用户资产可能被盗。由于流动性薄弱且投票权集中，攻击者在早期迅速达到了法定人数。不过，随着社区成员开始介入，目前大多数投票已转向反对该提案。

目前有两种途径可以阻止此次攻击：

• 社区反向投票：代币持有者可以在 3 月 27 日 截止日期前投出反对票，使其超过攻击者的票数。
• 紧急干预：名为“Break Glass Guardian”的紧急多签实体有权介入，绕过治理流程并剥夺攻击者的管理权限。

结构性风险与历史背景

此次事件凸显了 DeFi 治理中的结构性缺陷，即当代币分配不均或参与度较低时，治理代币可能被恶意利用。虽然 2022 年 Beanstalk 遭遇的治理攻击损失高达 1.8 亿美元，但 Moonwell 案例的特殊之处在于攻击成本极低。此前，Compound 和 Swerve Finance 等项目也曾面临类似的集中代币累积威胁。

此外，Moonwell 在今年早些时候也曾遭遇困境。今年 2 月，由于 Coinbase Wrapped ETH (cbETH) 的预言机配置错误，该协议遭受了 180 万美元 的坏账损失。本次治理危机再次引发了市场对该协议在 Moonbeam 和 Moonriver 网络上安全性的关注。