Злоумышленник потратил примерно 1808 долларов на покупку 40 миллионов токенов MFAM и внес вредоносное предложение, которое, если будет выполнено, предоставит полный контроль над семью рынками кредитования Moonwell и основными смарт-контрактами, позволяя злоумышленнику вывести более 1 миллиона долларов пользовательских средств.
Предложение под названием «MIP-R39: Восстановление протокола — миграция администратора» было подано 24 марта 2026 года, голосование должно завершиться 28 марта. Moonwell, мультичейн-протокол кредитования с общим заблокированным объемом около 85 миллионов долларов, сейчас сталкивается с критическим испытанием своих механизмов децентрализованного управления, поскольку участники сообщества борются за блокировку захвата контроля.
Компания по анализу блокчейна Blockful предупредила, что злоумышленник может иметь дополнительные нераскрытые кошельки с токенами MFAM, которые могут быть использованы для изменения результата голосования в последний момент, и рекомендовала участникам мультисиг-кошелька Moonwell активировать механизм «Break Glass Guardian», чтобы передать полномочия администратора от злоумышленника.
Механика атаки и возможные последствия
Эксплуатация управления по низкой стоимости
Злоумышленник приобрел 40 миллионов токенов MFAM по цене примерно 0,000025 долларов за токен, потратив около 1808 долларов, чтобы достичь порога для подачи предложения по управлению. Он использовал смарт-контракт для покупки токенов, при этом Blockful отметил, что контракт содержал вредоносный код, предназначенный для автоматизации действий по выводу ликвидности протокола в случае выполнения предложения.
Объем контроля
Если атака удастся, злоумышленник получит полный контроль над семью рынками Moonwell, основными смарт-контрактами протокола, а также сможет вывести более 1 миллиона долларов пользовательских средств. Протокол работает на Moonbeam (парачейн сети Polkadot) и Moonriver (аналогичная сеть в экосистеме Polkadot на Kusama).
Текущий статус и меры защиты
Активность голосования
По состоянию на 26 марта примерно 68% проголосовавших высказались против предложения. Однако Blockful предупредила, что злоумышленник может иметь дополнительные нераскрытые кошельки с MFAM, которые могут быть использованы для изменения результата голосования в последний момент.
Рекомендуемые меры предосторожности
Blockful рекомендовала участникам мультисиг-кошелька Moonwell активировать механизм «Break Glass Guardian», который переместит полномочия администратора от злоумышленника, обеспечивая безопасность пользовательских средств независимо от результата голосования. «Поскольку злоумышленник все еще может иметь скрытые кошельки, готовые проголосовать в последний блок в случае оппозиции, мы рекомендуем основной команде использовать Guardian для гарантии безопасности средств пользователей», — заявил Blockful.
Общий контекст: уязвимости DAO в управлении
Прецедентные случаи
Инцидент с Moonwell дополняет растущий список случаев эксплуатации и конфликтов в области децентрализованного управления в сфере DeFi:
- Compound Finance (2024): Группа инвесторов во главе с псевдонимом Humpy собрала достаточно токенов управления, чтобы протолкнуть предложение о переводе примерно 24 миллиона долларов из казны проекта в частный сейф. В итоге был достигнут компромисс.
- Aave (декабрь 2025): Было обнаружено, что сборы, полученные через интеграцию с CoW Swap, напрямую направлялись в Aave Labs — решение, не одобренное DAO кредитного протокола.
Риск токенов низкой стоимости
Атака на Moonwell подчеркивает уязвимость систем управления, основанных на токенах низкой стоимости. Покупая большое количество недорогих токенов, злоумышленник может выполнить требования к кворуму и подать вредоносное предложение с минимальными затратами.
Часто задаваемые вопросы
Как злоумышленник получил контроль над управлением Moonwell?
Злоумышленник приобрел 40 миллионов токенов MFAM за примерно 1808 долларов, использовал их для подачи предложения по управлению, которое бы передало контроль над рынками и основными смарт-контрактами Moonwell, и включил вредоносный код для автоматического вывода пользовательских средств в случае одобрения предложения.
Каков текущий статус предложения?
Голосование по предложению завершится 28 марта. По состоянию на 26 марта примерно 68% проголосовавших высказались против. Однако аналитики безопасности предупреждают, что злоумышленник может иметь дополнительные нераскрытые кошельки, которые могут быть использованы для изменения результата в последний момент.
Что можно сделать для остановки атаки?
Компания по безопасности Blockful рекомендует участникам мультисиг-кошелька Moonwell активировать механизм «Break Glass Guardian», который переместит полномочия администратора от злоумышленника независимо от результата голосования, обеспечивая безопасность средств пользователей.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
