Moonwell contesta votação sobre aquisição hostil do controle acionário

A Moonwell, protocolo de empréstimo descentralizado que opera na Moonriver, está combatendo uma tentativa ativa de um atacante desconhecido de assumir o controle administrativo de seustracinteligentes por meio de uma votação de governança manipulada. 

A proposta, se implementada, entregaria o controle de sete mercados de empréstimo, que detêm cerca de US$ 1,08 milhão em ativos de usuários, a uma carteira digital supostamente projetada para drená-los.

Como uma aposta de 1.808 dólares ameaçou um protocolo de 1 milhão de dólares?

Em 24 de março, o atacante financiou uma carteira de implantação e a utilizou para comprar 40,17 milhões de tokens MFAM, o token de governança nativo da Moonwell, na exchange descentralizada SolarBeam na Moonriver, por 1.600 MOVR, equivalentes a US$ 1.808.

Em seguida, o atacante implantou umtraccontendo lógica de exploração especialmente desenvolvida e submeteu a Proposta nº 74, intitulada “MIP-R39: Recuperação de Protocolo – Migração de Administrador”

Esta proposta prevê a transferência do controle administrativo de todos os sete mercados de empréstimo, do Controlador e do Oráculo para otracdo atacante. 

A Blockful, uma plataforma de segurança de governança para organizações autônomas descentralizadas (DAOs), escreveu que a proposta é claramente um ataque, acrescentando que otracdo atacante já continha as transações necessárias para esgotar todos os mercados após a execução. 

No bloco de captura de imagem, os 40,17 milhões de MFAM do atacante excederam o limite de quórum de 40 milhões do protocolo. O retorno implícito, caso o ataque fosse bem-sucedido, teria sido aproximadamente 597 vezes o custo do ataque.

Os fundos expostos nos mercados Moonriver da Moonwell totalizam cerca de US$ 1,08 milhão. Este ataque ocorre aproximadamente um mês depois de a Moonwell ter sofrido uma perda de cerca de US$ 1,8 milhão em dívidas incobráveis, atribuída a um oráculo mal configurado para o seu mercado de ETH vinculado à Coinbase (cbETH).

Será que Moonwell conseguirá impedir a votação, e o que acontecerá a seguir?

da votação da comunidade, até 26 de março, mostram que 66,7% dos votos expressos se opõem à proposta. A votação se encerra em 27 de março às 10h28 UTC, deixando uma janela estreita para a tomada de decisão.

pela governança da Moonwell solicitou que o(a) autor(a) da proposta se manifeste e forneça mais esclarecimentos, compartilhando detalhes sobre a intenção da proposta e uma explicação técnica das mudanças. O responsável também pediu ao(à) proponente que interaja com a comunidade no fórum. 

Até que o contexto necessário seja fornecido, Moonwell aconselha os membros da comunidade a terem cautela ao analisar ou votar nesta proposta, a evitarem apoiar propostas que não sejam suficientemente transparentes e a aguardarem esclarecimentos adicionais antes de tomarem qualquer decisão. 

Até o momento, o número de votos contra a proposta indica que a Moonwell está ganhando vantagem.

Blockful delineou duas estratégias de defesa viáveis ​​para impedir a aprovação da proposta. A primeira consiste em mobilizar votos suficientes "Contra" antes do prazo final. No entanto, essa estratégia também é complicada, visto que o poder de voto é registrado no bloco inicial da proposta, o que significa que o MFAM adquirido após o ataque não terá peso nessa votação. 

A Blockful observou que o proponente da proposta legítima anterior detém pelo menos 48,8 milhões de votos em MFAM em staking, o suficiente para rejeitar a proposta completamente com uma única transação.

A segunda opção, e de acordo com a Blockful, a mais segura, é o Break Glass Guardian, uma assinatura múltipla Gnosis Safe 2 de 3 que pode contornar completamente o bloqueio temporal do protocolo e transferir a administração de volta para o endereço de governança legítimo, tornando a proposta do atacante inútil, mesmo que seja aprovada. 

Caso a proposta seja aprovada sem intervenção, o atacante poderá enfileirar a execução já em 27 de março, com um bloqueio de 24 horas expirando em 28 de março, a data mais próxima em que todos os fundos poderiam ser drenados.

No passado, ocorreram diversos ataques de governança que causaram grandes prejuízos a algumas plataformas DeFi . Umdent notável aconteceu em abril de 2022 com o protocolo de stablecoin Beanstalk, que perdeu US$ 181 milhões devido a um ataque de governança baseado em empréstimos relâmpago que explorou a mesma vulnerabilidade fundamental de poder de voto temporário com execução imediata. 

Em 2024, uma facção de investidores da Compound Finance apresentou uma proposta não solicitada para redirecionar 5% do tesouro da COMP para uma conta multisig que controlavam, provocando uma reação negativa da comunidade.