Cuộc tấn công quản trị Moonwell trên Moonriver có thể làm lộ khoảng 1,08 triệu USD quỹ người dùng sau khi kẻ tấn công chi 1.800 MFAM để thúc đẩy một đề xuất

Một kẻ tấn công đã chi khoảng 1.800 MFAM để thúc đẩy một đề xuất quản trị độc hại trên Moonwell nhằm chiếm quyền kiểm soát bảy thị trường và khoảng 1,08 triệu USD quỹ người dùng, thử nghiệm cơ chế phủ quyết và phòng thủ quản trị. Một kẻ tấn công ẩn danh đã bỏ ra chỉ 1.800 USD để mua khoảng 40 triệu MFAM và đẩy nhanh một đề xuất quản trị độc hại trên triển khai Moonriver của Moonwell — hoàn tất chuỗi sự kiện trong khoảng 11 phút và đưa khoảng 1,08 triệu USD quỹ người dùng vào rủi ro. Theo The Block, đề xuất của kẻ tấn công, được liệt kê là MIP-R39, tìm cách chuyển quyền quản trị đối với bảy thị trường cho vay, hợp đồng comptroller và oracle giá sang một hợp đồng do kẻ tấn công kiểm soát. Việc có được quyền truy cập đó sẽ cho phép kẻ tấn công rút tiền khỏi các bể thanh khoản của giao thức theo ý muốn. Moonwell là một giao thức cho vay DeFi hoạt động trên Moonbeam và Moonriver, hai parachains trong hệ sinh thái Polkadot, nơi người dùng gửi tài sản để kiếm lợi nhuận hoặc vay bằng tài sản thế chấp. Khuyết điểm cấu trúc của quản trị dựa trên token: khi token quản trị ở mức giá thấp và sự tham gia của người bỏ phiếu thưa thớt, một kẻ xấu có thể tích lũy đủ trọng lượng bỏ phiếu để thông qua các đề xuất với vốn đầu tư tương đối nhỏ. Chính đặc điểm này đã làm cho cuộc tấn công có thể thực hiện — 1.800 MFAM đủ để đạt quorum và khóa một phiếu thuận có lợi trước khi có sự phản đối đáng kể có thể huy động. Hai cơ chế an toàn còn lại đang có hiệu lực Việc bỏ phiếu cho đề xuất vẫn mở đến ngày 27 tháng 3. Dù đạt quorum nhanh, phần lớn số phiếu bỏ cho hiện đang phản đối. Kết quả cuối cùng vẫn phụ thuộc vào bất kỳ quyền bỏ phiếu chưa được công khai còn lại. Bên cạnh đó, Moonwell duy trì cơ chế multisig khẩn cấp được gọi là Break Glass Guardian, cho phép vượt qua quy trình quản trị và thu hồi quyền truy cập của kẻ tấn công trước khi thực thi bất kể kết quả bỏ phiếu. Vụ việc là vụ thất bại bảo mật thứ hai gần đây của Moonwell trong vài tuần. Vào tháng 2, giao thức này chịu một vụ khai thác trước đó khi một oracle lỗi — do AI Claude Opus 4.6 đóng góp — định giá cbETH gần mức 1 USD thay vì giá trị thị trường khoảng 2.200 USD, tạo ra khoảng 1,78 triệu USD nợ xấu. Tấn công quản trị không phải là điều mới trong DeFi, nhưng vẫn cho thấy căng thẳng giữa sự tham gia mở và an ninh giao thức. Beanstalk là một ví dụ điển hình vào năm 2022, với một kẻ tấn công rút được hơn 180 triệu USD bằng cách dùng một khoản vay nhanh để tạm thời tích lũy đủ trọng lượng bỏ phiếu nhằm thông qua một đề xuất giả mạo trong một giao dịch duy nhất. Compound Finance và Swerve Finance cũng từng đối mặt với các sự cố quản trị tương tự do tích lũy token tập trung. Điểm khác biệt ở Moonwell là hiệu quả chi phí ở mức rất cao. Không có yêu cầu vay mượn nhanh (flash loan) — chỉ cần mua trên thị trường mở một token có thanh khoản thấp, và một hệ thống quản trị thiếu các biện pháp ngắt mạch để làm chậm một đề xuất thù địch. Cộng đồng Moonwell và nhóm phát triển hiện đang ráo riết đuổi theo hạn chót bỏ phiếu ngày 27 tháng 3. Kết quả sẽ kiểm tra xem cơ chế Break Glass Guardian và sự phản đối tích cực của người bỏ phiếu có thể vô hiệu hóa mối đe dọa trước khi đề xuất được thực thi hay không.