Puntos Clave de la Noticia
- Exploit de gobernanza: Un atacante compró 40 millones de MFAM para impulsar una propuesta que le daría el control de los Smart contracts de Moonwell que mantienen unos $1,08 millones.
- Respuesta de la comunidad: El quórum inicial favoreció al atacante, pero el aumento de la participación ha inclinado la votación en contra de la propuesta a medida que se acerca la fecha límite del 27 de marzo.
- Opciones de emergencia: Moonwell puede detener el ataque ya sea mediante la votación continua o activando su multisig Break Glass Guardian para bloquear la ejecución y proteger los fondos de los usuarios.
Un rápido ataque de gobernanza ha puesto en riesgo más de $1 millón en depósitos de usuarios en Moonwell, donde un actor desconocido utilizó una estrategia de bajo costo para impulsar una propuesta hostil a través del sistema de votación del protocolo. El movimiento dejó al descubierto cómo la propiedad concentrada de tokens y la baja liquidez pueden socavar la toma de decisiones descentralizada.
El atacante acumula MFAM para forzar el control de la gobernanza
El incidente comenzó cuando el atacante gastó unos $1.800 para adquirir aproximadamente 40 millones de tokens MFAM, lo que le dio el peso suficiente para avanzar con una propuesta en el despliegue de Moonwell en Moonriver. En cuestión de minutos, creó y votó una medida que transferiría el control administrativo de siete mercados de préstamos, el comptroller y el oracle a un contrato controlado por él. De ejecutarse, ese contrato podría drenar un estimado de $1,08 millones en fondos de usuarios. La velocidad del ataque resaltó lo rápido que se puede manipular la gobernanza cuando la participación es baja.
La comunidad de Moonwell se moviliza mientras la votación cambia
Las primeras votaciones mostraron que la propuesta superaba el quórum casi de inmediato, lo que activó las alarmas en toda la comunidad de Moonwell. A medida que más poseedores de tokens se unieron al proceso, el sentimiento cambió y la mayoría ahora se opone a la medida. Aun así, el resultado final depende del poder de voto restante no declarado antes de la fecha límite del 27 de marzo. El episodio subraya cómo los sistemas de gobernanza pueden verse estresados cuando la distribución de tokens es desigual o cuando los votantes tardan en reaccionar.
La multisig de emergencia tiene el poder de detener la ejecución
Quedan dos opciones para detener el intento de exploit. Los poseedores de tokens pueden continuar sumando votos contra la propuesta, o la multisig de emergencia del protocolo, conocida como Break Glass Guardian, puede intervenir. Este mecanismo permite a los firmantes designados anular la gobernanza y evitar transferencias de control maliciosas. Su posible activación refleja la tensión entre la descentralización y la necesidad de salvaguardas protectoras dentro de Moonwell.
Resurgen los riesgos de gobernanza más amplios
El intento de toma de control evoca exploits de gobernanza pasados en el sector DeFi. Ataques similares han apuntado a protocolos donde la acumulación concentrada de tokens permitió propuestas hostiles. Para Moonwell, la situación sigue a un incidente de febrero en el que el protocolo sufrió $1,8 millones en deuda incobrable debido a una configuración defectuosa del oracle. Juntos, estos eventos resaltan los desafíos continuos para asegurar los sistemas descentralizados y garantizar que la gobernanza siga siendo resiliente.
