资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Moonwell正与不明攻击者争夺协议控制权
基于Moonriver网络运作的去中心化借贷协议Moonwell,正在应对一场通过篡改治理投票夺取其智能合约管理权限的攻击。若该提案被执行,七个借贷市场(持有约108万美元用户资产)的控制权将移交至一个据称旨在掏空资金的钱包。
1808美元如何威胁百万美元协议?
3月24日,攻击者向部署者钱包注资,并使用1600枚MOVR(价值1808美元)从Moonriver上的SolarBeam去中心化交易所购得4017万枚MFAM代币(Moonwell的原生治理代币)。随后攻击者部署包含定制攻击逻辑的合约,并提交编号74号提案《MIP-R39:协议恢复——管理员迁移》。
该提案要求将所有七个借贷市场、控制器及预言机的管理权限转移至攻击者合约。去中心化自治组织治理安全平台Blockful指出,该提案明显属于攻击行为,攻击者合约已预设执行时可清空所有市场的交易逻辑。在提案快照区块时,攻击者持有的4017万枚MFAM已超过协议规定的4000万法定门槛。若攻击成功,预计回报约为攻击成本的597倍。
Moonwell在Moonriver市场面临风险的资产总额约108万美元。此次攻击发生前约一个月,该协议因其Coinbase封装ETH市场的预言机配置错误,曾产生约180万美元坏账损失。
Moonwell能否阻止投票?后续发展如何?
截至3月26日的社区投票数据显示,66.7%的投票反对该提案。投票将于UTC时间3月27日10时28分结束,留出的应对窗口极为有限。
Moonwell治理负责人已要求提案发起者公开说明提案意图并提供技术细节,同时建议社区成员在审查或投票时保持谨慎,避免支持透明度不足的提案。当前反对票数量显示Moonwell正占据优势。
Blockful提出两种防御方案:一是在截止前动员足够反对票,但由于投票权已在提案起始区块快照,攻击后购买的MFAM不具投票权,此方案执行复杂。前一合法提案发起者持有至少4880万质押MFAM投票权,足以通过单笔交易否决攻击提案。
第二种更稳妥的方案是启动紧急监护人机制——一个2/3多重签名钱包可完全绕过协议时间锁,将管理权交还合法治理地址,即使攻击提案通过也会失效。若提案未经干预通过,攻击者最早可于3月27日排队执行,24小时时间锁将于3月28日到期,届时所有资金可能被转移。
过去已发生多起治理攻击事件:2022年4月Beanstalk稳定币协议因即时执行的临时投票权漏洞,在闪电贷治理攻击中损失1.81亿美元;2024年Compound Finance投资者团体曾提议将5%COMP国库转移至其控制的多重签名地址,引发社区强烈反对。
