Moonwell 攻击者花费 1,808 美元通过治理提案夺取控制权

一名攻击者花费约$1,808购买了4000万MFAM治理代币，并推动一项恶意提案，如果执行，将授予其对Moonwell的七个借贷市场和核心智能合约的完全控制权，使其能够提取超过$100万的用户资金。

该提案题为“MIP-R39：协议恢复——管理员迁移”，于2026年3月24日提交，投票将于3月28日结束。Moonwell是一个多链借贷协议，锁定总价值约为8500万美元，现在正面临其去中心化治理保障的关键考验，社区成员正努力阻止此次接管。

区块链情报公司Blockful警告称，攻击者可能持有其他未披露的钱包，持有MFAM代币，可能在最后一刻翻转投票，建议Moonwell的多签签名者启用“断玻璃守护者”机制，将管理员权限从攻击者手中转移。

攻击机制与潜在影响

低成本治理利用

攻击者以每个大约$0.000025的价格购买了4000万MFAM代币，花费约$1,808，达到了提交治理提案的门槛。攻击者使用智能合约购买代币，Blockful指出该合约包含恶意代码，旨在自动化在提案执行时耗尽协议流动性的步骤。

控制范围

如果成功，该提案将赋予攻击者对Moonwell的七个市场、协议的核心智能合约的完全控制权，并能提取超过$100万的用户资金。该协议在Moonbeam（Polkadot的平行链网络）和Moonriver（Polkadot开发者网络Kusama上的对应网络）上运行。

当前状态与防御措施

投票活动

截至3月26日，约68%的投票反对该提案。然而，Blockful警告称，攻击者可能持有其他未披露的钱包，可能在截止日期前用以翻转投票。

建议的安全措施

Blockful建议Moonwell的多签签名者启用“断玻璃守护者”机制，这一防御机制可以将管理员权限从攻击者手中转移，确保用户资金安全，无论投票结果如何。“由于攻击者仍可能拥有隐藏的钱包，准备在最后一刻投票反对，我们建议核心团队使用守护者机制，确保用户资金安全，”Blockful表示。

更广泛的背景：DAO治理漏洞

先例案例

Moonwell事件增加了去中心化金融中治理被利用和争议的案例列表：

• Compound Finance（2024）：由化名用户Humpy领导的一组投资者积累了足够的治理代币，强行通过一项提案，将约2400万美元从项目金库转入私人保险库。最终达成了停火。
• Aave（2025年12月）：发现通过与CoW Swap的集成产生的费用被直接导入Aave Labs，这一决定未获借贷协议的DAO批准。

低价值代币风险

Moonwell攻击突显了依赖低价值代币的治理系统的特定漏洞。通过购买大量廉价代币，攻击者可以满足法定人数要求，提交恶意提案，几乎无需大量资金。

常见问题解答

攻击者是如何获得对Moonwell治理的控制权的？

攻击者花费约$1,808购买了4000万MFAM代币，用它们提交一项治理提案，旨在转移对Moonwell市场和核心智能合约的控制权，并在提案通过时包含自动耗尽用户资金的恶意代码。

该提案的当前状态如何？

投票截止日期为3月28日。截至3月26日，约68%的投票反对该提案。然而，安全分析师警告称，攻击者可能持有其他未披露的钱包，可能在最后一刻用以翻转投票。

可以采取什么措施阻止此次攻击？

安全公司Blockful建议Moonwell的多签签名者启用“断玻璃守护者”机制，无论投票结果如何，都能将管理员权限从攻击者手中转移，确保用户资金安全。