Moonwell是基于Moonriver的去中心化借贷协议,目前正在与一名未知攻击者进行激烈对抗。该攻击者试图通过操纵治理投票来夺取其智能合约的管理控制权。如果提案被执行,将把持有约108万美元用户资产的七个借贷市场的控制权移交给一个据称旨在耗尽这些资产的钱包。
1808美元的赌注如何威胁百万美元协议?
3月24日,攻击者资助了一个部署者钱包,并用它从Moonriver上的SolarBeam去中心化交易所购买了4017万枚MFAM代币(Moonwell的原生治理代币),花费了1600枚MOVR,价值1808美元。
攻击者随后部署了一个包含专门设计的漏洞利用逻辑的合约,并提交了第74号提案,标题为“MIP-R39:协议恢复 – 管理员迁移”。该提案要求将所有七个借贷市场、Comptroller和Oracle的管理控制权转移给攻击者的合约。
去中心化自治组织(DAO)治理安全平台Blockful写道,该提案显然是一次攻击,并补充说攻击者的合约已经包含了在执行时耗尽所有市场所需的交易。
在快照区块,攻击者的4017万枚MFAM超过了协议的4000万法定人数门槛。如果成功,隐含回报率将达到攻击成本的约597倍。Moonwell在Moonriver市场上暴露的资金总额约为108万美元。
这次攻击发生在Moonwell因Coinbase包装ETH(cbETH)市场的预言机配置错误而遭受约180万美元坏账损失的大约一个月后。
Moonwell能否阻止投票,接下来会发生什么?
截至3月26日的社区投票数据显示,66.7%的投票反对该提案。投票将于3月27日UTC时间10:28结束,留给行动的时间窗口很窄。
Moonwell的治理负责人要求提案背后的人站出来,通过分享提案意图的细节和变更的技术解释来提供更多清晰度。负责人还要求提案者在论坛上与社区互动。
在获得所需背景信息之前,Moonwell建议社区成员在审查或投票此提案时保持谨慎,避免支持缺乏足够透明度的提案,并在采取行动前等待进一步澄清。
到目前为止,反对提案的票数表明Moonwell正在占据上风。Blockful概述了两种可行的防御策略来阻止提案通过。
第一种是在截止日期前动员足够的“反对”票。然而,这一举措也很复杂,因为投票权在提案起始区块时被快照,这意味着攻击后购买的MFAM在此次投票中没有权重。
Blockful指出,先前合法提案的提案者持有至少4880万质押MFAM的投票权,足以通过单笔交易彻底击败该提案。
第二种,根据Blockful的说法,更安全的选择是Break Glass Guardian,这是一个2-of-3的Gnosis Safe多重签名,可以完全绕过协议的时间锁,并将管理员转移回合法的治理地址,即使提案通过,也使攻击者的提案无效。
如果提案在没有干预的情况下通过,攻击者最早可以在3月27日排队执行,24小时的时间锁将于3月28日到期,这是所有资金可能被耗尽的最早日期。
历史上的治理攻击案例
过去曾发生一系列治理攻击,导致一些DeFi平台遭受重大损失。一个值得注意的事件发生在2022年4月,Beanstalk稳定币协议因基于闪电贷的治理攻击损失了1.81亿美元,该攻击利用了具有立即执行的临时投票权的相同基本漏洞。
2024年,Compound Finance投资者的一派提交了一份未经请求的提案,要求将5%的COMP国库重定向到他们控制的多重签名,引发了社区反弹。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/27/moonwell%e9%81%ad%e9%81%87%e6%b2%bb%e7%90%86%e6%94%bb%e5%87%bb%ef%bc%9a%e9%bb%91%e5%ae%a2%e8%af%95%e5%9b%be%e6%8e%8c%e6%8e%a7%e4%bb%b7%e5%80%bc108%e4%b8%87%e7%be%8e%e5%85%83%e7%9a%84%e8%b5%84%e4%ba%a7/
