Ce qu’il faut retenir :
- Un attaquant a dépensé 1 800 dollars pour acquérir 40 millions de tokens MFAM et prendre le contrôle de la gouvernance de Moonwell.
- La proposition malveillante pourrait transférer l’administration de sept marchés de prêt et exposer 1,08 million de dollars de fonds utilisateurs.
- L’attaque s’est déroulée en 11 minutes grâce à la faible liquidité des tokens et la concentration du pouvoir de vote sur le réseau Moonriver.
1 800 dollars pour contrôler un protocole DeFi
Un investissement de 1 800 dollars suffit désormais à menacer plus d’un million de dollars sur Moonwell, protocole de prêt décentralisé de l’écosystème Polkadot. Un attaquant anonyme a acquis environ 40 millions de tokens MFAM pour pousser une proposition de gouvernance malveillante qui transférerait le contrôle administratif des contrats principaux du protocole.
La séquence complète, achat des tokens, création de la proposition et vote pour atteindre le quorum, a duré 11 minutes. La proposition, actuellement active sur le déploiement Moonriver de Moonwell, vise à transférer le contrôle de sept marchés de lending, du contrôleur et de l’oracle vers un contrat contrôlé par l’attaquant.
Plus d’un million de dollars en jeu
Une fois exécuté, le contrat malveillant pourrait vider les fonds à travers l’ensemble du protocole. Les estimations actuelles évaluent à 1,08 million de dollars les fonds utilisateurs exposés si la proposition s’exécute.
Moonwell opère sur les réseaux Moonbeam et Moonriver de l’écosystème Polkadot. Les utilisateurs peuvent déposer des actifs pour générer du rendement ou emprunter contre des garanties. Les décisions de gouvernance passent par un vote des détenteurs de tokens, avec MFAM servant d’actif de vote sur Moonriver.
La stratégie de l’attaquant exploite la faible participation
La stratégie repose sur la faible liquidité des tokens et la concentration du pouvoir de vote. Cette configuration permet à un investissement relativement modeste de contrôler une part disproportionnée de la gouvernance. Le vote reste ouvert jusqu’au 27 mars.
Bien que les premiers décomptes ont atteint automatiquement le quorum de 40 millions de token, la participation ultérieure a inversé la tendance. Une majorité des votes s’oppose désormais à la mesure, mais les règles de gouvernance font dépendre l’issue des totaux finaux et de tout pouvoir de vote non déclaré.
Ce qu’il faut surveiller
Deux options restent pour stopper l’attaque. Les détenteurs de tokens peuvent surpasser la proposition par leurs votes comme il semble être le cas, ou un multisig d’urgence désigné, le Break Glass Guardian, peut intervenir pour annuler le processus de gouvernance et retirer le contrôle à l’attaquant avant l’exécution.
L’incident soulève des questions structurelles sur la gouvernance décentralisée. Les attaques par flash loan ont vidé plus de 180 millions de dollars de Beanstalk en 2022, mais le cas Moonwell se distingue par le faible coût d’entrée nécessaire pour compromettre un protocole.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
