Angreifer reicht für 1.808 US-Dollar Übernahmevorschlag für Moonwell Protocol ein

Ein Angreifer hat nach eigenen Angaben in nur 11 Minuten und für 1.808 US-Dollar einen Governance-Antrag eingereicht, der die Kontrolle über das gesamte Moonwell-Protokoll übertragen würde. Moonwell ist ein Multichain-Lending-Protokoll für die Ökosysteme Moonbeam und Moonriver und kommt laut DefiLlama auf rund 85 Millionen US-Dollar Total Value Locked (TVL). Moonbeam ist eine Parachain im Polkadot-Netzwerk, Moonriver gilt als entsprechendes Netzwerk im Polkadot-Entwicklernetz Kusama. Sollte der Antrag durchkommen, würde der Angreifer die volle Kontrolle über zentrale Komponenten des Lending-Protokolls erhalten, darunter sieben Märkte sowie den Kern-Smart-Contract. Nach Einschätzung der Blockchain-Intelligence-Firma Blockful könnte dies auch ermöglichen, mehr als 1 Million US-Dollar an Nutzervermögen abzuziehen. Die Abstimmung läuft bis Freitag. Inhaber von MFAM, dem Governance-Token von Moonwell, können weiterhin dagegen stimmen, um den Antrag zu stoppen. Bis Donnerstag entfielen 68% der abgegebenen Stimmen auf "Nein". Blockful warnt jedoch, der Angreifer könne zusätzliche, bislang nicht identifizierte Wallets mit MFAM halten und diese einsetzen. Statt auf das Abstimmungsergebnis zu vertrauen, empfiehlt Blockful den Multisig-Unterzeichnern von Moonwell, die Admin-Rechte proaktiv aus dem Einflussbereich des Angreifers zu ziehen. In Forenbeiträgen wird dieser Abwehrmechanismus als "Break Glass Guardian" beschrieben. "Da der Angreifer weiterhin versteckte Wallets haben kann und im letzten Block abstimmen könnte, falls es Gegenwehr gibt, empfehlen wir dem Kernteam, den Guardian zu nutzen, um die Sicherheit der Nutzergelder zu garantieren", schrieb Blockful am Donnerstag. DAO-Governance unter Druck Die Steuerung von Krypto-Protokollen über dezentral organisierte Communities gilt seit Jahren als mühsames Experiment. 2024 sammelte eine Investorengruppe bei Compound Finance, angeführt vom pseudonymen Nutzer Humpy, ausreichend Governance-Token, um einen Antrag durchzusetzen, der rund 24 Millionen US-Dollar aus der Projekt-Treasury in einen privaten Vault verlagert hätte. Am Ende kam es zu einer Einigung, und Humpy gab die Token zurück. Zuletzt rückte auch ein Streit in der Aave-Community die Frage in den Fokus, was eine Decentralized Autonomous Organization tatsächlich besitzt. Im Dezember wurde bekannt, dass Gebühren aus einer Integration mit der dezentralen Börse CoW Swap direkt an Aave Labs flossen — ohne Genehmigung durch die DAO des Lending-Protokolls. Der Fall Moonwell zeigt eine weitere Angriffsfläche: Governance über günstige Token zu steuern. Analyse des Angriffs Der Angreifer kaufte 40 Millionen MFAM-Token, um den Antrag einzureichen, und stimmte ihn anschließend über das Quorum. Bei einem Tokenpreis von 0,000025 US-Dollar vor dem Kauf kostete es laut Bericht etwa 1.800 US-Dollar, um am Dienstag "MIPR39: Protocol Recovery Admin Migration" einzubringen. Der Kauf der Token erfolgte über einen Smart Contract. Blockful zufolge enthielt dieser Smart Contract zudem bösartigen Code, der die Schritte automatisieren würde, die für das Abziehen der Protokoll-Liquidität nötig sind. "Dieser Vorschlag ist eindeutig ein Angriff", schrieb das Unternehmen am Mittwoch. "Der Proposal-Contract, der bei Ausführung dieses Antrags die Kontrolle über die Märkte erhält, enthält bereits die Transaktionen, die notwendig sind, um sie auszunutzen." Weder Blockful noch Moonwell reagierten umgehend auf Anfragen zur Stellungnahme. Liam Kelly ist DeFi-Korrespondent von DL News in Berlin. Hinweise: liam@dlnews.com.