Resumen
Explotación de gobernanza: Un atacante compró 40 millones de MFAM para impulsar una propuesta que les daría control sobre los contratos de Moonwell que poseen alrededor de $1.08 millones.
Respuesta de la comunidad: El quórum inicial favoreció al atacante, pero la participación aumentada ha cambiado el voto en contra de la propuesta a medida que se acerca la fecha límite del 27 de marzo.
Opciones de emergencia: Moonwell puede detener el ataque ya sea a través de la votación continua o activando su multisig Break Glass Guardian para bloquear la ejecución y proteger los fondos de los usuarios.
Un ataque rápido de gobernanza ha puesto en riesgo más de $1 millón en depósitos de usuarios en Moonwell, donde un actor desconocido utilizó una estrategia de bajo costo para impulsar una propuesta hostil a través del sistema de votación del protocolo. La acción expuso cómo la concentración de propiedad de tokens y la baja liquidez pueden socavar la toma de decisiones descentralizada.
El atacante acumula MFAM para forzar el control de gobernanza
El incidente comenzó cuando el atacante gastó alrededor de $1,800 para adquirir aproximadamente 40 millones de tokens MFAM, dándoles suficiente peso para avanzar una propuesta sobre el despliegue de Moonriver de Moonwell. En minutos, crearon y votaron sobre una medida que transferiría el control administrativo de siete mercados de préstamos, el contralor y el oráculo a un contrato que controlaban. Si se ejecuta, ese contrato podría drenar aproximadamente $1.08 millones en fondos de usuarios. La rapidez del ataque destacó cuán rápidamente se puede manipular la gobernanza cuando la participación es baja.
La comunidad de Moonwell se moviliza a medida que el voto cambia
La votación anticipada mostró que la propuesta pasaba el quórum casi inmediatamente, levantando alarmas en toda la comunidad de Moonwell. A medida que más poseedores de tokens se unieron al proceso, el sentimiento cambió, y la mayoría ahora se opone a la medida. Aún así, el resultado final depende del poder de voto no declarado que quede antes de la fecha límite del 27 de marzo. El episodio subraya cómo los sistemas de gobernanza pueden verse estresados cuando la distribución de tokens es desigual o cuando los votantes son lentos en reaccionar.
El multisig de emergencia tiene el poder de detener la ejecución
Dos opciones permanecen para detener el intento de explotación. Los poseedores de tokens pueden continuar movilizando votos en contra de la propuesta, o el multisig de emergencia del protocolo, conocido como el Guardián de Romper Cristales, puede intervenir. Este mecanismo permite a los firmantes designados anular la gobernanza y prevenir transferencias de control maliciosas. Su posible activación refleja la tensión entre la descentralización y la necesidad de salvaguardias protectoras dentro de Moonwell.
Los riesgos de gobernanza más amplios resurgen nuevamente
El intento de adquisición recuerda los exploits de gobernanza pasados en DeFi. Ataques similares han dirigido protocolos donde la acumulación concentrada de tokens permitió propuestas hostiles. Para Moonwell, la situación sigue un incidente de febrero en el que el protocolo sufrió $1.8 millones en deuda incobrable debido a una configuración incorrecta del oráculo. Juntos, estos eventos destacan los desafíos continuos para asegurar sistemas descentralizados y garantizar que la gobernanza siga siendo resiliente.