Moonwell está luchando contra un ataque a su gobernanza en el que intentan controlar activos por un valor aproximado de 1,08 millones de dólares
Moonwell, el protocolo de préstamos descentralizados que opera en Moonriver, está luchando contra un intento activo de un atacante desconocido para tomar el control administrativo de sustracinteligentes mediante una votación de gobernanza manipulada.
La propuesta, de llevarse a cabo, entregaría el control de siete mercados de préstamos, que gestionan alrededor de 1,08 millones de dólares en activos de usuarios, a una billetera que, según se informa, está diseñada para vaciarlos.
¿Cómo pudo una apuesta de 1.808 dólares poner en peligro un protocolo de un millón de dólares?
El 24 de marzo, el atacante financió una billetera de despliegue y la utilizó para comprar 40,17 millones de tokens MFAM, el token de gobernanza nativo de Moonwell, en el intercambio descentralizado SolarBeam en Moonriver por 1.600 MOVR, con un valor de 1.808 dólares.
Posteriormente, el atacante desplegó untracque contenía una lógica de explotación diseñada específicamente para ello y presentó la Propuesta n.º 74, titulada “MIP-R39: Recuperación de protocolo: migración de administrador”
Esta propuesta exige la transferencia del control administrativo de los siete mercados de préstamos, el Contralor y el Oráculo altracdel atacante.
Blockful, una plataforma de seguridad de gobernanza para organizaciones autónomas descentralizadas (DAO), escribió que la propuesta es claramente un ataque, y agregó que eltracdel atacante ya contenía las transacciones necesarias para vaciar todos los mercados al ejecutarse.
En el bloque de instantánea, los 40,17 millones de MFAM del atacante superaron el umbral de quórum de 40 millones del protocolo. El retorno implícito, de haber tenido éxito, habría sido aproximadamente 597 veces el costo del ataque.
Los fondos expuestos en los mercados Moonriver de Moonwell ascienden a aproximadamente 1,08 millones de dólares. Este ataque se produce aproximadamente un mes después de que Moonwell sufriera una pérdida de alrededor de 1,8 millones de dólares en deudas incobrables, atribuida a un oráculo mal configurado para su mercado de ETH envuelto en Coinbase (cbETH).
¿Podrá Moonwell detener la votación? ¿Qué sucederá después?
de la votación comunitaria del 26 de marzo, el 66,7% de los votos emitidos se oponen a la propuesta. La votación finaliza el 27 de marzo a las 10:28 UTC, lo que deja un margen de tiempo limitado para actuar.
de gobernanza de Moonwell ha solicitado a quien esté detrás de la propuesta que se presente y aclare sus intenciones, proporcionando una explicación técnica de los cambios. Asimismo, le pidió que participara en el foro con la comunidad.
Hasta que se proporcione el contexto necesario, Moonwell aconseja a los miembros de la comunidad que actúen con cautela al revisar o votar sobre esta propuesta, que eviten apoyar propuestas que carezcan de suficiente transparencia y que esperen a obtener más aclaraciones antes de tomar cualquier medida.
Hasta el momento, el número de votos en contra de la propuesta indica que Moonwell está ganando terreno.
Blockful describió dos estrategias de defensa viables para evitar la aprobación de la propuesta. La primera consiste en movilizar suficientes votos en contra antes de la fecha límite. Sin embargo, esta medida también se complica debido a que el poder de voto se registra al inicio de la propuesta, lo que significa que las compras de MFAM realizadas después del ataque no tienen peso en esta votación.
Blockful señaló que el proponente de la propuesta legítima anterior posee al menos 48,8 millones de votos en MFAM apostados, suficientes para derrotar la propuesta de plano con una sola transacción.
La segunda opción, y según Blockful, la más segura, es Break Glass Guardian, una multifirma 2 de 3 de Gnosis Safe que puede eludir por completo el bloqueo temporal del protocolo y transferir la administración a la dirección de gobernanza legítima, lo que convierte la propuesta del atacante en una operación nula incluso si se aprueba.
Si la propuesta se aprueba sin intervención, el atacante podría programar su ejecución tan pronto como el 27 de marzo, con un bloqueo temporal de 24 horas que expiraría el 28 de marzo, la fecha más temprana en la que se podrían agotar todos los fondos.
En el pasado, se han producido varios ataques a la gobernanza que han dejado a algunas plataformas DeFi con grandes pérdidas. Undent notable ocurrió en abril de 2022 con el protocolo de la stablecoin Beanstalk, que perdió 181 millones de dólares debido a un ataque a la gobernanza basado en préstamos flash que explotó la misma vulnerabilidad fundamental con poder de voto temporal y ejecución inmediata.
En 2024, un grupo de inversores de Compound Finance presentó una propuesta no solicitada para redirigir el 5% de la tesorería de COMP a una entidad multifirma que controlaban, lo que provocó una fuerte reacción de la comunidad.
Si estás leyendo esto, ya estás al tanto. Sigue leyendo nuestro boletín .
Artículos Recomendados
