Атакувальник Moonwell витратив 1 808 доларів, щоб захопити контроль через пропозицію щодо управління

Зловмисник витратив приблизно 1808 доларів США на купівлю 40 мільйонів токенів MFAM і просунув зловмисну пропозицію, яка, якщо її виконати, надасть повний контроль над сімома ринками кредитування Moonwell і основними смарт-контрактами, дозволяючи зловмиснику вивести понад 1 мільйон доларів користувацьких коштів.

Пропозиція під назвою «MIP-R39: Відновлення протоколу — міграція адміністратора» була подана 24 березня 2026 року, а голосування мало завершитися 28 березня. Moonwell, мульти-ланцюговий протокол кредитування з приблизною загальною заблокованою вартістю близько 85 мільйонів доларів, зараз проходить критичний тест своїх засобів децентралізованого управління, оскільки учасники спільноти намагаються заблокувати захоплення.

Блокчейн-аналітична компанія Blockful попередила, що зловмисник може мати додаткові невідомі гаманці з токенами MFAM, які можуть бути використані для зміни голосування в останній момент, і рекомендує, щоб підписанти мульти-сигу Moonwell активували механізм «Break Glass Guardian», щоб передати повноваження адміністратора від зловмисника.

Механізм атаки та потенційний вплив

Вигідна експлуатація управління

Зловмисник придбав 40 мільйонів токенів MFAM за ціною приблизно 0,000025 долара за токен, витративши близько 1808 доларів, щоб досягти порогу для подання пропозиції управління. Зловмисник використав смарт-контракт для купівлі токенів, причому Blockful зазначила, що контракт містив зловмисний код, розроблений для автоматизації кроків з виведення ліквідності протоколу у разі виконання пропозиції.

Обсяг контролю

Якщо пропозицію ухвалять, зловмисник отримає повний контроль над сімома ринками Moonwell, основними смарт-контрактами протоколу, а також зможе вивести понад 1 мільйон доларів користувацьких коштів. Протокол працює на Moonbeam (парачейн мережі Polkadot) і Moonriver (аналогічна мережа на Polkadot, розроблена на Kusama).

Поточний стан і заходи захисту

Активність голосування

Станом на 26 березня приблизно 68% голосів було проти пропозиції. Однак Blockful попередила, що зловмисник може мати додаткові невідомі гаманці з MFAM, які можуть бути використані для зміни результату голосування перед дедлайном у п’ятницю.

Рекомендований захист

Blockful рекомендує підписантам мульти-сигу Moonwell активувати механізм «Break Glass Guardian», який перемістить повноваження адміністратора від зловмисника, забезпечуючи безпеку користувацьких коштів незалежно від результату голосування. «Оскільки зловмисник може мати приховані гаманці, готові голосувати в останню хвилину у разі опору, ми рекомендуємо команді використати Guardian для гарантії безпеки користувачів», — заявила компанія.

Загальний контекст: вразливості управління DAO

Попередні випадки

Інцидент з Moonwell додає до зростаючого списку зловживань і конфліктів у сфері децентралізованого управління:

• Compound Finance (2024) : Група інвесторів під керівництвом псевдоніму Humpy зібрала достатньо токенів управління, щоб протиснути пропозицію, яка могла б перемістити близько 24 мільйонів доларів із казни проекту у приватний сейф. В кінцевому підсумку було досягнуто перемир’я.
• Aave (грудень 2025) : Виявлено, що збори, отримані через інтеграцію з CoW Swap, напряму маршрутизувалися до Aave Labs — рішення, яке не було схвалене DAO протоколу кредитування.

Ризик низької вартості токенів

Атака на Moonwell підкреслює вразливість систем управління, що залежать від токенів низької вартості. Купуючи велику кількість недорогих токенів, зловмисник може виконати кворум і подати зловмисні пропозиції з мінімальними фінансовими витратами.

Часті запитання

Як зловмисник отримав контроль над управлінням Moonwell?

Зловмисник придбав 40 мільйонів токенів MFAM за приблизно 1808 доларів, використав їх для подання пропозиції управління, яка б передала контроль над ринками і основними смарт-контрактами Moonwell, і включив зловмисний код для автоматичного виведення коштів користувачів у разі ухвалення пропозиції.

Який поточний статус пропозиції?

Голосування закінчується 28 березня. Станом на 26 березня приблизно 68% голосів було проти пропозиції. Однак фахівці з безпеки попереджають, що зловмисник може мати додаткові невідомі гаманці, які можуть бути використані для зміни результату голосування в останню хвилину.

Що можна зробити для зупинки атаки?

Компанія з безпеки Blockful рекомендує підписантам мульти-сигу Moonwell активувати механізм «Break Glass Guardian», який перемістить повноваження адміністратора від зловмисника незалежно від результату голосування, забезпечуючи безпеку коштів користувачів.