黑客僅花1,808美元提交管治提案企圖接管Moonwell協議

一名攻擊者只用了11分鐘、花費1,808美元，便提交一項管治提案，試圖把整個Moonwell協議"交棒"到自己手上。 Moonwell是一個多鏈借貸協議，為Moonbeam及Moonriver生態提供流動性。根據DefiLlama數據，Moonwell目前總鎖倉價值（TVL）約8,500萬美元。Moonbeam是Polkadot上的平行鏈網絡；Moonriver則是Polkadot開發者網絡Kusama上的對應網絡。 若該提案獲通過，攻擊者將全面掌控借貸協議的關鍵組件，包括7個市場及協議核心智能合約。區塊鏈情報公司Blockful指出，提案一旦執行，攻擊者或可抽走逾100萬美元用戶資金。 該提案投票將於周五截止。Moonwell管治代幣MFAM持有人仍可投反對票阻止提案。投票紀錄顯示，截至周四，已投票當中68%為反對。 Blockful同時警告，攻擊者可能仍持有未被識別的錢包，內有MFAM可供動用。公司建議Moonwell的多簽（multisig）簽署人採取"Break Glass Guardian"防禦措施，把管理權限從攻擊者可能控制的路徑中移走。Blockful周四在帖文中寫道："由於攻擊者仍可能有隱藏錢包，準備在最後一個區塊投票翻盤，我們建議核心團隊使用Guardian，確保用戶資金安全。" 【DAO管治的老問題】 以去中心化社群管治加密協議一直是艱難實驗。2024年，一批Compound Finance投資者在化名用戶Humpy帶領下，累積足夠的Compound管治代幣，推動一項提案，計劃把項目庫房約2,400萬美元轉入私人金庫；其後Humpy與各方達成和解並歸還代幣。 較近期的例子來自Aave社群爭議，亦令外界重新關注DAO到底"擁有"甚麼。去年12月，有人發現Aave與去中心化交易所CoW Swap的整合所產生費用，被直接導向Aave Labs，而此安排未獲借貸協議DAO批准。 Moonwell事件則揭示另一個攻擊面：利用低成本購入代幣操控管治。 【攻擊手法拆解】 Blockful分析指出，攻擊者買入4,000萬枚MFAM以提出提案，並隨後投票令提案跨過法定門檻（quorum）。在買入前，MFAM價格約為0.000025美元，攻擊者周二以約1,800美元成本提交"MIPR39: Protocol Recovery Admin Migration"提案。攻擊者透過智能合約買入代幣。 Blockful亦稱，該智能合約含惡意程式碼，可自動化完成抽走協議流動性所需步驟。"這份提案明顯是一次攻擊，"該公司周三表示，"一旦提案被執行，將取得市場所有權的提案合約，已預先包含用以利用市場漏洞的所需交易。" 截至發稿，Blockful及Moonwell均未有即時回應置評要求。 （原文署名：DL News駐柏林DeFi記者Liam Kelly；聯絡電郵：liam@dlnews.com）