Un atacante gasta 1.808 dólares para impulsar una propuesta que le daría el control de Moonwell
En solo 11 minutos y con un desembolso de 1.808 dólares, un atacante consiguió presentar una propuesta de gobernanza destinada a hacerse con el control del protocolo Moonwell.
Moonwell es un protocolo de préstamos multichain que aporta liquidez a los ecosistemas Moonbeam y Moonriver. Según DefiLlama, mantiene alrededor de 85 millones de dólares en valor total bloqueado (TVL). Moonbeam es una red parachain dentro de Polkadot y Moonriver es su equivalente en Kusama, la red para desarrolladores del ecosistema.
Si la propuesta prospera, el atacante obtendría el control total de componentes críticos del protocolo, incluidos sus siete mercados y el contrato inteligente principal. La firma de inteligencia on-chain Blockful sostiene que, de ejecutarse, la medida abriría la puerta a retirar más de 1 millón de dólares en fondos de usuarios.
La votación de la propuesta finaliza el viernes. Los titulares de MFAM, el token de gobernanza de Moonwell, todavía pueden votar en contra para bloquearla. A jueves, la actividad de voto mostraba que el 68% de los votos emitidos se oponen a la propuesta.
Blockful advierte, no obstante, de que el atacante podría disponer de monederos adicionales no identificados con MFAM que podría utilizar. Por ese motivo, la firma recomienda que los firmantes del multisig de Moonwell actúen para retirar los poderes de administración del alcance del atacante mediante una medida defensiva conocida como "Break Glass Guardian", según publicaciones en el foro.
"Como el atacante aún puede tener monederos ocultos, listos para votar en el último bloque en caso de oposición, recomendamos que el equipo principal use el Guardian para garantizar que los fondos de los usuarios estén a salvo", escribió la firma el jueves.
Gobernanza DAO
La gestión de protocolos cripto a través de comunidades descentralizadas lleva años siendo un experimento complejo. En 2024, un grupo de inversores de Compound Finance, liderado por el usuario seudónimo Humpy, acumuló suficientes tokens de gobernanza como para forzar una propuesta que habría trasladado unos 24 millones de dólares desde la tesorería del proyecto a una cámara privada. Finalmente, Humpy alcanzó un acuerdo y devolvió los tokens.
Más recientemente, una disputa en la comunidad de Aave volvió a plantear qué es exactamente lo que posee una organización autónoma descentralizada. En diciembre se detectó que las comisiones generadas por una integración con el exchange descentralizado CoW Swap se estaban enviando directamente a Aave Labs, una decisión que no había sido aprobada por la DAO del protocolo de préstamos.
El caso de Moonwell expone otra superficie de ataque: utilizar tokens baratos para capturar procesos de gobernanza.
Análisis del ataque
Según Blockful, el atacante compró 40 millones de tokens MFAM para poder presentar una propuesta y, después, la votó hasta superar el quórum. Con el token a 0,000025 dólares antes de la compra, el atacante habría gastado alrededor de 1.800 dólares para llevar el martes a votación "MIPR39: Protocol Recovery Admin Migration".
La adquisición se realizó mediante un contrato inteligente. Blockful también indicó que ese contrato incluía código malicioso para automatizar los pasos necesarios para drenar la liquidez del protocolo.
"Esta propuesta es claramente un ataque", escribió la firma el miércoles. "El contrato de la propuesta que obtendrá la propiedad de los mercados si se ejecuta ya incorpora las transacciones necesarias para explotarlos".
Ni Blockful ni Moonwell respondieron de inmediato a las solicitudes de comentarios.
Liam Kelly es corresponsal de DeFi en Berlín para DL News. Envíe pistas a liam@dlnews.com.
