Moonwell 面临100万美元的风险,攻击者购买廉价代币并提交恶意投票提案以控制DeFi lending protocol contracts。
名为Moonwell的去中心化金融平台正面临严重的安全威胁,此次攻击成本极低。此次事件令加密社区感到意外,因为攻击者仅花费了1800美元。据Moonwell论坛的报道,该提案可能使超过100万美元的资金处于风险之中。
问题始于一名未知攻击者购买了约4000万MFAM代币。这些代币在Moonwell的治理系统中具有投票权。因此,持有大量代币意味着该人能够对平台的重要决策进行影响。
持有代币后,攻击者提出了一项治理提案。该提案试图将对重要智能合约的控制权交给由攻击者控制的钱包。这些合约包括预言机、清算器以及协议内的七个借贷市场。
最令人震惊的是此次攻击的速度。据报道,整个过程仅用了11分钟。首先,购买了代币。接着,制定了提案。最后,投票达到了法定人数(即投票数达到提案生效所需的最低门槛)。
对该提案的投票将持续到2026年3月27日。然而,社区中的许多成员随后开始投票反对该计划。因此,最终结果尚不确定。
Moonwell是基于Moonbeam和Moonriver网络的借贷协议。据DefiLlama数据显示,目前该平台在其市场中锁定了约8500万美元的资金。因此,能够控制这些合约意味着攻击者可能获得大量资金。
这并非Moonwell首次遇到问题。2025年11月,该协议曾因预言机错误损失了一小部分资金,约为100万美元。原因是Chainlink的价格预言机提供的代币价格不正确。
由于价格错误,一笔小额存款被估值超过11.6万美元。结果,一款交易机器人利用虚假价格从市场借出了巨额资金。这些资金从Base Network和Optimism的Moonwell池中被抽走。
事后,Moonwell DAO批准了一系列修复措施。2026年3月6日,社区投票重新开启了Moonriver上的提款功能。随后,2026年3月9日,又批准了新的合约升级,以修正奖励计算问题。
开发者表示,这些升级是为了安全考虑。然而,治理方面的新攻击表明去中心化系统仍存在风险。
此外,治理攻击非常危险,因为黑客利用投票规则而非破解代码来控制系统。因此,攻击者可以在不直接破坏安全的情况下取得控制权。
目前,Moonwell社区正密切关注投票情况。如果提案未获通过,资金将保持安全。然而,此次事件揭示,即使是小规模的攻击也可能对DeFi lending protocol contracts上的数百万资金构成威胁。
