Moonwell, giao thức cho vay phi tập trung hoạt động trên Moonriver, đang chống lại một nỗ lực tích cực của một kẻ tấn công không rõ danh tính nhằm chiếm quyền kiểm soát quản trị các hợp đồng thông minh của mình thông qua việc thao túng phiếu bầu quản trị.
Nếu được thực hiện, đề xuất này sẽ trao quyền kiểm soát bảy thị trường cho vay, nắm giữ khoảng 1,08 triệu đô la tài sản của người dùng, cho một ví điện tử được cho là thiết kế để rút cạn tài sản của họ.
Làm thế nào mà một vụ cá cược trị giá 1.808 đô la lại có thể đe dọa đến một giao thức trị giá 1 triệu đô la?
Vào ngày 24 tháng 3, kẻ tấn công đã nạp tiền vào ví triển khai và sử dụng nó để mua 40,17 triệu token MFAM, Token quản trị gốc của Moonwell, từ Sàn phi tập trung (DEX) SolarBeam trên Moonriver với giá 1.600 MOVR, trị giá 1.808 đô la.
Sau đó, kẻ tấn công đã triển khai một hợp đồng chứa logic khai thác được thiết kế riêng và đệ trình Đề xuất số 74, có tiêu đề “MIP-R39: Khôi phục giao thức – Di chuyển quản trị”.
Đề xuất này kêu gọi chuyển giao quyền kiểm soát hành chính của cả bảy thị trường cho vay, Cơ quan Kiểm toán và Hệ thống Tiên tri cho bên nhận hợp đồng.
Blockful, một nền tảng bảo mật quản trị dành cho Các tổ chức tự trị phi tập trung (DAO) (DAO), cho biết đề xuất này rõ ràng là một cuộc tấn công, đồng thời nói thêm rằng hợp đồng của kẻ tấn công đã chứa các giao dịch cần thiết để rút cạn tất cả các thị trường khi được thực thi.
Tại thời điểm Snapshot Block, số lượng MFAM 40,17 triệu của kẻ tấn công đã vượt quá Threshold tối thiểu 40 triệu của giao thức. Nếu thành công, lợi nhuận thu được sẽ xấp xỉ 597 lần chi phí của cuộc tấn công.
Tổng số tiền bị ảnh hưởng trên các thị trường Moonriver của Moonwell lên tới khoảng 1,08 triệu đô la. Vụ tấn công này xảy ra khoảng một tháng sau khi Moonwell chịu tổn thất khoảng 1,8 triệu đô la do nợ xấu, được cho là do cấu hình sai hệ thống oracle trên thị trường Coinbase-wrapped ETH (cbETH) của họ.
Liệu Moonwell có thể ngăn chặn cuộc bỏ phiếu, và điều gì sẽ xảy ra tiếp theo?
Dữ liệu bỏ phiếu cộng đồng tính đến ngày 26 tháng 3 cho thấy 66,7% số phiếu bầu phản đối đề xuất này. Cuộc bỏ phiếu kết thúc vào lúc 10:28 UTC ngày 27 tháng 3, chỉ còn một khoảng thời gian ngắn để đưa ra quyết định.
Trưởng ban quản trị của Moonwell đã yêu cầu người đứng sau đề xuất này hãy lên tiếng và cung cấp thêm thông tin chi tiết về mục đích của đề xuất cũng như giải thích kỹ thuật về các thay đổi. Trưởng ban cũng yêu cầu người đề xuất tham gia thảo luận với cộng đồng trên diễn đàn.
Cho đến khi có đủ bối cảnh cần thiết, Moonwell khuyến cáo các thành viên cộng đồng nên thận trọng khi xem xét hoặc bỏ phiếu cho đề xuất này, tránh ủng hộ các đề xuất thiếu minh bạch và chờ đợi thông tin làm rõ thêm trước khi hành động.
Cho đến nay, số phiếu chống lại đề xuất cho thấy Moonwell đang chiếm ưu thế.
Blockful đã vạch ra hai chiến lược phòng thủ khả thi để giảm thiểu khả năng đề xuất được thông qua. Chiến lược đầu tiên là huy động đủ số phiếu "Chống" trước thời hạn. Tuy nhiên, động thái này cũng phức tạp do thực tế là quyền biểu quyết được ghi nhận tại Block đề xuất, có nghĩa là MFAM được mua sau cuộc tấn công không có trọng lượng trong cuộc bỏ phiếu này.
Blockful lưu ý rằng người đề xuất đề án hợp lệ trước đó nắm giữ ít nhất 48,8 triệu quyền biểu quyết trong số MFAM đã được đặt cọc, đủ để bác bỏ đề án này chỉ bằng một giao dịch duy nhất.
Phương án thứ hai và theo Blockful là an toàn hơn là Break Glass Guardian, một loại chứng chỉ đa chữ ký Gnosis Safe 2-of-3 có thể bỏ qua hoàn toàn khóa thời gian của giao thức và chuyển quyền quản trị trở lại địa chỉ quản trị hợp pháp, khiến đề xuất của kẻ tấn công trở nên vô hiệu ngay cả khi nó được chấp thuận.
Nếu đề xuất được thông qua mà không có sự can thiệp, kẻ tấn công có thể lên lịch thực thi sớm nhất vào ngày 27 tháng 3, với thời hạn khóa 24 giờ hết hạn vào ngày 28 tháng 3, ngày sớm nhất mà toàn bộ số tiền có thể bị rút hết.
Trong quá khứ đã có một loạt các cuộc tấn công quản trị gây thiệt hại lớn cho một số nền tảng DeFi . Một sự cố đáng chú ý xảy ra vào tháng 4 năm 2022 với giao thức stablecoin Beanstalk, khi nền tảng này mất 181 triệu đô la do một cuộc tấn công quản trị dựa trên Khoản vay nhanh , khai thác cùng một lỗ hổng cơ bản với quyền biểu quyết tạm thời và khả năng thực thi tức thì.
Vào năm 2024, một nhóm các nhà đầu tư của Compound Finance đã đệ trình một đề xuất không được yêu cầu nhằm chuyển hướng 5% Treasury COMP sang một quỹ đa chữ ký mà họ kiểm soát, gây ra phản ứng dữ dội trong cộng đồng.
