Протокол децентрализованного кредитования Moonwell, работающий на платформе Moonriver, борется с активной попыткой неизвестного злоумышленника захватить административный контроль над его смарт-tracпосредством манипулирования результатами голосования в системе управления.
В случае принятия этого предложения контроль над семью рынками кредитования, на которых хранятся пользовательские активы на сумму около 1,08 миллиона долларов, будет передан кошельку, который, как сообщается, предназначен для их истощения.
Как ставка в 1808 долларов поставила под угрозу протокол стоимостью 1 миллион долларов?
24 марта злоумышленник пополнил кошелек развертывателя и использовал его для покупки 40,17 миллионов токенов MFAM, собственного токена управления Moonwell, на децентрализованной бирже SolarBeam на Moonriver за 1600 MOVR, что эквивалентно 1808 долларам США.
Затем злоумышленник развернулtrac, содержащий специально разработанную логику эксплойта, и представил предложение № 74 под названием «MIP-R39: Восстановление протокола – миграция администратора»
Данное предложение предусматривает передачу административного контроля над всеми семью рынками кредитования, Контролером и Оракулом вtracконтрагента.
Blockful, платформа для обеспечения безопасности управления децентрализованными автономными организациями (DAO), заявила, что это предложение является явной атакой, добавив, чтоtracзлоумышленника уже содержал транзакции, необходимые для того, чтобы осушить все рынки при его исполнении.
В момент создания снимка количество MFAM, принадлежащее злоумышленнику и составляющее 40,17 миллионов, превысило установленный протоколом порог в 40 миллионов. Предполагаемая прибыль в случае успеха составила бы приблизительно в 597 раз больше стоимости атаки.
Общая сумма средств, скомпрометированных на рынках Moonriver компании Moonwell, составляет около 1,08 миллиона долларов. Эта атака произошла примерно через месяц после того, как Moonwell понесла убытки в размере около 1,8 миллиона долларов из-за невозвратных долгов, которые, как предполагается, были вызваны неправильной настройкой оракула на рынке ETH, обернутого в Coinbase (cbETH).
Сможет ли Мунвелл остановить голосование, и что произойдет дальше?
общественного голосования по состоянию на 26 марта показывают, что 66,7% проголосовавших высказались против предложения. Голосование завершится 27 марта в 10:28 UTC, оставляя очень мало времени для принятия решения.
отдела управления Moonwell попросил инициатора предложения выступить с разъяснениями, предоставив подробную информацию о цели предложения и техническое объяснение изменений. Руководитель также попросил инициатора предложения взаимодействовать с сообществом на форуме.
До тех пор, пока не будет предоставлена необходимая информация, Мунвелл советует членам сообщества проявлять осторожность при рассмотрении или голосовании по этому предложению, избегать поддержки предложений, которым не хватает достаточной прозрачности, и дождаться дальнейших разъяснений, прежде чем предпринимать какие-либо действия.
Судя по количеству голосов против предложения, Мунвелл на данный момент имеет преимущество.
Компания Blockful предложила две жизнеспособные стратегии защиты, чтобы предотвратить принятие предложения. Первая — мобилизация достаточного количества голосов «против» до крайнего срока. Однако этот шаг также осложняется тем, что сила голоса фиксируется на момент начала блока предложения, а это значит, что MFAM, приобретенные после атаки, не имеют никакого веса при голосовании.
Компания Blockful отметила, что инициатор предыдущего законного предложения владеет как минимум 48,8 миллионами голосующих акций в стейкинге MFAM, чего достаточно, чтобы полностью отклонить предложение одной транзакцией.
Второй и, по мнению Blockful, более безопасный вариант — это Break Glass Guardian, мультиподпись, совместимая с протоколом Gnosis Safe (2 из 3), которая может полностью обойти временную блокировку протокола и передать административные права обратно на легитимный адрес управления, что делает предложение злоумышленника неэффективным, даже если оно будет принято.
Если предложение будет принято без вмешательства, злоумышленник сможет поставить исполнение в очередь уже 27 марта, при этом 24-часовая блокировка истечет 28 марта — это самая ранняя дата, когда все средства могут быть выведены.
В прошлом происходила серия атак на систему управления, которые нанесли некоторым DeFi платформам значительные убытки. Один из наиболее заметныхdent произошел в апреле 2022 года с протоколом стейблкоина Beanstalk, который потерял 181 миллион долларов в результате атаки на систему управления, основанной на мгновенном кредитовании, с использованием той же фундаментальной уязвимости, что и временное право голоса с немедленным исполнением.
В 2024 году группа инвесторов Compound Finance внесла незапрошенное предложение о перенаправлении 5% казначейских средств COMP на контролируемую ими мультиподписную облигацию, что вызвало негативную реакцию в сообществе.
