Un attaquant a dépensé environ 1 808 $ pour acheter 40 millions de jetons de gouvernance MFAM et faire passer une proposition malveillante qui, si elle était exécutée, aurait permis de prendre le contrôle total des sept marchés de prêt de Moonwell et de ses contrats intelligents principaux, permettant à l’exploitant de drainer plus d’un million de dollars de fonds utilisateur.
La proposition, intitulée « MIP-R39 : Récupération du protocole - Migration admin », a été soumise le 24 mars 2026, avec un vote prévu pour se terminer le 28 mars. Moonwell, un protocole de prêt multichaîne avec environ 85 millions de dollars en valeur totale verrouillée, fait désormais face à une épreuve critique de ses garanties de gouvernance décentralisée alors que les membres de la communauté tentent de bloquer la prise de contrôle.
La société d’intelligence blockchain Blockful a averti que l’attaquant pourrait détenir d’autres portefeuilles non divulgués avec des jetons MFAM pouvant être utilisés pour faire basculer le vote à la dernière minute, recommandant que les signataires du multisig de Moonwell activent un « Guardian de bris de verre » pour déplacer les pouvoirs d’administration loin de l’exploitant.
Mécanismes de l’attaque et impact potentiel
Exploitation de gouvernance à faible coût
L’attaquant a acheté 40 millions de jetons MFAM à un prix d’environ 0,000025 $ par jeton, dépensant environ 1 808 $ pour atteindre le seuil requis pour soumettre une proposition de gouvernance. L’exploitant a utilisé un contrat intelligent pour acquérir les jetons, celui-ci contenant du code malveillant conçu pour automatiser les étapes nécessaires pour drainer la liquidité du protocole si la proposition est exécutée.
Portée du contrôle
Si elle réussit, la proposition donnerait à l’attaquant le contrôle total sur les sept marchés de Moonwell, les contrats intelligents principaux du protocole, et permettrait de vider plus d’un million de dollars de fonds utilisateur. Le protocole fonctionne sur Moonbeam (un parachain sur Polkadot) et Moonriver (le réseau équivalent sur Kusama, le réseau de développement de Polkadot).
Statut actuel et mesures de défense
Activité de vote
Au 26 mars, environ 68 % des votes exprimés étaient contre la proposition. Cependant, Blockful a averti que l’attaquant pourrait détenir d’autres portefeuilles non identifiés avec des MFAM pouvant être déployés pour faire basculer le vote avant la date limite du vendredi.
Mesure de sécurité recommandée
Blockful recommande que les signataires du multisig de Moonwell activent le « Guardian de bris de verre », un mécanisme de défense qui déplacerait les pouvoirs d’administration loin de l’attaquant, garantissant la sécurité des fonds utilisateur quel que soit le résultat du vote. « Étant donné que l’attaquant peut encore détenir des portefeuilles cachés, prêts à voter dans le dernier bloc en cas d’opposition, nous recommandons à l’équipe centrale d’utiliser le Guardian pour garantir la sécurité des fonds utilisateur », a déclaré Blockful.
Contexte plus large : vulnérabilités de la gouvernance DAO
Cas de précédent
L’épisode Moonwell s’ajoute à une liste croissante d’exploits et de disputes en matière de gouvernance dans la finance décentralisée :
- Compound Finance (2024) : Un groupe d’investisseurs dirigé par l’utilisateur pseudonyme Humpy a accumulé suffisamment de jetons de gouvernance pour faire passer une proposition qui aurait déplacé environ 24 millions de dollars du trésor du projet vers un coffre privé. Une trêve a finalement été conclue.
- Aave (décembre 2025) : Il a été découvert que les frais générés par une intégration avec CoW Swap étaient directement routés vers Aave Labs, une décision non approuvée par la DAO du protocole de prêt.
Risque lié aux jetons de faible valeur
L’attaque Moonwell met en évidence une vulnérabilité spécifique dans les systèmes de gouvernance qui dépendent de jetons de faible valeur. En achetant une grande quantité de jetons peu coûteux, un attaquant peut satisfaire aux exigences de quorum et soumettre des propositions malveillantes avec un investissement financier minimal.
Questions fréquemment posées
Comment l’attaquant a-t-il pris le contrôle de la gouvernance de Moonwell ?
L’attaquant a acheté 40 millions de jetons MFAM pour environ 1 808 $, les a utilisés pour soumettre une proposition de gouvernance qui aurait transféré le contrôle des marchés et des contrats intelligents principaux de Moonwell, et a inclus du code malveillant pour automatiser le drain des fonds utilisateur si la proposition est adoptée.
Quel est le statut actuel de la proposition ?
Le vote sur la proposition se termine le 28 mars. Au 26 mars, environ 68 % des votes exprimés étaient contre la proposition. Cependant, des analystes en sécurité avertissent que l’attaquant pourrait détenir d’autres portefeuilles non divulgués pouvant être utilisés pour faire basculer le vote à la dernière minute.
Que peut-on faire pour arrêter l’attaque ?
La société de sécurité Blockful recommande que les signataires du multisig de Moonwell activent le mécanisme « Guardian de bris de verre », qui déplacerait les pouvoirs d’administration loin de l’attaquant quel que soit le résultat du vote, garantissant la sécurité des fonds utilisateur.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
