Неизвестный злоумышленник потратил всего $1808, чтобы получить контроль над мультичейновым кредитным протоколом Moonwell, общая стоимость заблокированных средств (TVL) которого составляет около $85 млн. Атака была осуществлена через механизм управления децентрализованной автономной организацией (DAO).
Атакующий приобрел 40 миллионов токенов управления MFAM по цене около $0,000025 за токен, что дало ему достаточный вес для внесения и первоначального прохождения кворума по предложению «MIP-R39: Protocol Recovery - Admin Migration». Это предложение, созданное 25 марта, предусматривало передачу административного контроля над семью кредитными пулами, основным смарт-контрактом (комптроллером) и оракулом протокола на контракт, контролируемый злоумышленником.
По данным аналитической компании Blockful, в смарт-контракте предложения уже был заложен вредоносный код, который в случае его исполнения позволил бы автоматически вывести более $1,08 млн пользовательских средств. «Это предложение явно является атакой», — заявили в фирме.
Голосование по предложению должно завершиться 27 марта. Несмотря на то, что на текущий момент около 68% голосов подано против инициативы, аналитики предупреждают, что у атакующего могут быть дополнительные, не идентифицированные кошельки с токенами MFAM, которые могут быть использованы в последний момент для изменения результата.
В качестве экстренной меры защиты команда Moonwell может задействовать механизм «Break Glass Guardian» — мультиподписной кошелек, который позволяет в чрезвычайной ситуации отменить исполнение вредоносного предложения и защитить средства пользователей. Blockful рекомендовал именно этот сценарий, учитывая риск скрытого маневра со стороны атакующего.
Этот инцидент высветил хронические уязвимости в системах децентрализованного управления (DAO). Низкая ликвидность и высокая концентрация токенов управления позволяют злоумышленникам с относительно небольшими затратами захватывать контроль над протоколами. Ранее аналогичные атаки фиксировались в Compound Finance и других проектах.
Для Moonwell это уже второй инцидент за короткое время: в феврале протокол понес убытки в $1,8 млн из-за сбоя в работе оракула.
