黑客僅花1,808美元 幾乎奪取TVL約8,500萬美元DeFi借貸協議Moonwell控制權

整理：ChainThink 鎖倉總值（TVL）約8,500萬美元的DeFi借貸協議Moonwell，近日差點因一宗成本不足2,000美元的治理操作而被奪走核心控制權。據DL News報道，攻擊者在短短11分鐘內，以1,808美元完成買入治理代幣、提交提案並推進至法定投票門檻等關鍵步驟。若提案最終獲執行，攻擊者可掌控Moonwell多個核心組件，包括7個市場及協議核心智能合約，並有機會抽走逾100萬美元用戶資金。 一、為何1,808美元可撬動8,500萬美元協議？ Moonwell是多鏈借貸協議，主要服務Moonbeam及Moonriver生態的流動性需求。按DefiLlama數據，其TVL約8,500萬美元。以此規模而言，理應具備更高強度的治理防線，難以被低成本利用。 是次問題源於治理門檻與代幣價格失衡。區塊鏈安全公司Blockful分析指出，攻擊者先買入4,000萬枚MFAM（Moonwell治理代幣）。由於當時MFAM價格約0.000025美元，整體成本僅略高於1,800美元。其後，攻擊者用該批代幣提交名為「MIPR39: Protocol Recovery Admin Migration」的治理提案，並迅速推過法定投票門檻。 表面看似按規則提出提案，Blockful指出實質內容高度惡意：一旦提案執行，獲授權的提案合約已預先寫入交易步驟，目標是進一步抽走協議流動性。換言之，這不是治理分歧，而是披着治理外衣的攻擊腳本。事件最令人不安之處在於，攻擊者並非利用合約漏洞，而是直接利用治理機制的薄弱點；更像是在「合法使用」一個缺乏韌性的治理設計。 二、DAO治理風險早有前例 今次更極端 Moonwell並非首個暴露治理弱點的DeFi項目。市場近年反覆爭論DAO治理能否真正代表「去中心化共識」。 2024年，Compound Finance曾出現類似治理爭議。當時由匿名用戶Humpy主導的投資者群體累積足夠治理代幣，嘗試推動提案把約2,400萬美元庫房資金轉移至私人金庫。事件最終經談判妥協告一段落，但反映一旦治理代幣高度集中，小圈子可透過程序正當性「劫持」DAO。 不久前，Aave社群亦因收入分配引發爭議：與去中心化交易所CoW Swap整合所產生的費用，直接流向Aave Labs而非DAO，令社群重新追問DAO究竟擁有甚麼——品牌、收入、治理權，抑或只是一個投票外殼？ Moonwell事件把問題再推前一步：DAO不僅面對大戶風險，亦可能被攻擊者趁治理代幣冷門且價格極低、提案門檻偏低之際，以極低成本發動治理攻擊。Compound展示的是「大戶力量」，Moonwell揭示的是「廉價治理資產」的危險。 三、Moonwell仍有應對空間 但時間窗口狹窄 Moonwell並非完全無路可走，但反應時間有限。按公開投票結果，截至報道時約68%投票反對該提案，顯示社群已將其視作攻擊而非一般治理提案。 Blockful同時提醒，攻擊者或仍持有尚未識別的額外錢包地址。即使目前反對票佔優，也不能排除攻擊者在最後階段透過隱藏錢包集中投票扭轉結果。 在此情況下，Blockful建議不應只寄望投票結果，而應啟動Moonwell既有的防禦式治理機制「Break Glass Guardian」。該設計相當於緊急掣，允許多簽持有人預先轉移管理權限，即使惡意提案通過，也可阻止攻擊者實際接管協議核心功能。這與傳統金融的「熔斷」或「保險絲」概念相近。 此類機制的存在亦反映，儘管不少DeFi項目強調全鏈上自治，關鍵時刻仍需某種中心化或半中心化的緊急備援。代價是等同默認：單靠治理代幣投票維持安全，往往並不足夠。 四、低估值治理代幣的系統性風險被放大 Moonwell事件揭示更深層的結構性問題：當治理代幣長期低迷、流動性不足、持倉分散、參與度偏低，DAO更容易成為攻擊目標。 DeFi行業長期以技術角度談安全——重入攻擊、預言機、權限控制、私鑰管理等，卻往往忽略「治理」本身亦是攻擊面。特別是TVL龐大但治理代幣估值極低的項目，容易形成危險錯配：協議鎖住數千萬甚至上億美元資金，治理權卻廉價得如同「街市貨」。 在這種格局下，攻擊者不再需要高深編碼或直接攻擊金庫，只要找到門檻低的切入位，把治理流程武器化，就可能撼動整個系統。Moonwell事件很可能成為2026年討論DAO治理安全時的經典案例：若缺乏有效門檻設計、延遲執行機制、緊急制動，以及代幣分佈與參與管理，所謂「去中心化治理」反而可能為攻擊者提供更便宜、更具程序正當性、且初期更難察覺的入侵通道。市場更值得追問的，不僅是Moonwell能否扛過此劫，而是還有多少協議同樣站在風險邊緣。