Moonwell рискует потерять 1 миллион долларов после того, как злоумышленник приобрел дешевые токены и подал вредоносное предложение по голосованию, чтобы получить контроль над контрактами протокола DeFi.
Децентрализованная финансовая платформа Moonwell сталкивается с серьезной угрозой безопасности после очень дешевого взлома. Инцидент стал сюрпризом для криптосообщества, поскольку злоумышленник потратил всего 1800 долларов. Согласно отчетам форума Moonwell, это предложение может поставить под угрозу более 1 000 000 долларов.
Дешевое приобретение токенов приводит к атаке на управление
Проблема началась с того, что неизвестный злоумышленник приобрел около 40 000 000 токенов MFAM. Эти токены дают право голоса в системе управления Moonwell. Поэтому владение большим количеством токенов позволяет принимать важные решения по платформе.
Обладая токенами, злоумышленник сформировал предложение по управлению. В нем предполагалось передать контроль над важными смарт-контрактами кошельку, контролируемому злоумышленником. Эти контракты включают оракул, контроллер и семь рынков кредитования внутри протокола.
Самым поразительным было быстродействие атаки. По сообщениям, весь процесс занял всего 11 минут. Сначала были приобретены токены. Затем — подготовлено предложение. В конце голосование достигло кворума, то есть достаточного количества голосов для активации предложения.
Голосование по предложению будет открыто до 27 марта 2026 года. Однако многие участники сообщества позже начали голосовать против этого плана. Поэтому окончательный результат по вопросу остается неопределенным.
Moonwell — это протокол кредитования на сетях Moonbeam и Moonriver. Согласно данным DefiLlama, в настоящее время платформа заблокировала примерно 85 000 000 долларов в своих рынках. Поэтому возможность контролировать контракты означает, что злоумышленник потенциально может получить доступ к крупным средствам.
Предыдущая уязвимость вызвала опасения по безопасности
Это не первый случай, когда Moonwell сталкивается с проблемой. В ноябре 2025 года протокол потерял небольшую сумму в 1 000 000 долларов из-за ошибки оракула. Значение токена в ценовом фиде Chainlink было неправильным.
Из-за неправильной цены небольшие депозиты оценивались в более чем 116 000 долларов. В результате торговый бот использовал фальшивое значение для заимствования огромных сумм на рынке. Это привело к тому, что средства были выведены из пулов Moonwell на базовой сети и Optimism.
После этого инцидента DAO Moonwell одобрил ряд исправлений. 6 марта 2026 года сообщество проголосовало за восстановление возможности снятия средств на Moonriver. Позже, 9 марта 2026 года, были одобрены обновления контрактов для исправления проблем с расчетом наград.
Эти обновления были направлены на безопасность, сообщили разработчики. Однако новая атака на управление показывает, что в децентрализованных системах существуют риски.
Более того, атаки на управление опасны, потому что злоумышленники используют правила голосования, а не взлом кода. Поэтому они могут получить контроль, не нарушая напрямую безопасность.
На данный момент сообщество Moonwell внимательно следит за голосованием. Если предложение не пройдет, средства останутся в безопасности. Однако инцидент показал, что даже небольшие атаки могут угрожать миллионам долларов на платформах DeFi.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Контракт Scallop по выводу V2 был использован злоумышленниками: после кражи 150 тыс. SUI объявлено о полной компенсации
Протокол децентрализованного кредитования Scallop в сети Sui Network 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что пострадал от атаки с использованием уязвимости. Злоумышленник извлек около 150,000 SUI из заброшенного контрактa наград, связанного с sSUI spool. Согласно официальному заявлению, основной пул ликвидности и средства пользователей не пострадали; протокол восстановил депозиты и выводы, и подтверждено, что компания полностью компенсирует все убытки за счет собственных средств.
MarketWhisper8м назад
AAVE Теперь работает в сети Solana, доступен на Phantom и Jupiter
Сообщение Gate News от 27 апреля — AAVE теперь работает в сети Solana, с поддержкой торговли токеном децентрализованного управления DeFi на платформах, включая Phantom и Jupiter.
Aave — это некастодиальный протокол ликвидности
GateNews12м назад
Aave, Kelp и LayerZero предлагают выпустить $71M замороженный ETH, чтобы восстановить rsETH
Сообщение Gate News, 26 апреля — Aave Labs, вместе с Kelp DAO, LayerZero, EtherFi и Compound, в субботу утром подали Конституционное AIP, попросив Arbitrum DAO выпустить примерно $71 миллиона замороженного ETH в DeFi United — инициативу по межпротокольной помощи, последовавшую после эксплойта $292 миллиона Kelp DAO на прошлой неделе
GateNews2ч назад
Aave предлагает 25,000 ETH DeFi United для помощи при возмещении ущерба из-за эксплойта в Kelp DAO
Провайдеры сервиса Aave в пятницу внесли на рассмотрение предложение по управлению, которое должно было бы направить в рамках протокольного DAO вклад на сумму 25,000 ETH почти $58 миллионов в DeFi United — «скоординированную миссию по оказанию помощи» для восстановления поддержки rsETH после эксплойта Kelp DAO. Предлагаемый взнос пойдет на закрытие
CryptoFrontier6ч назад
Павел Дуров говорит, что комиссии TON снизятся в 6 раз, ориентируясь на почти нулевые затраты
TON снижает комиссии за транзакции в шесть раз до почти нулевого уровня, переходя на фиксированное ценообразование, не зависящее от перегруженности сети.
Обновление повышает скорость и финальность, позволяя выполнять более быстрые и дешевые транзакции по сравнению с Ethereum, Bitcoin и Solana.
Более низкие издержки поддерживают микротранзакции и приложения,
CryptoFrontNews7ч назад
Протокол DeFi-кредитования Sui 受 взлому: Scallop, уязвимость в старом контракте привела к краже 150 000 SUI
Scallop подвергся атаке в сети Sui: побочный контракт вовлёк связанный с ним пул наград sSUI, который был использован злоумышленниками; примерно 150000 SUI были украдены. Основной контракт безопасен, депозиты и вывод средств уже восстановлены. Официальное заявление касается только заброшенного (деактивированного) контракта с наградами; средства пользователей не пострадали. Бывший разработчик NEAR Vadim заявил, что источник уязвимости — устаревший пакет V2, выпущенный 17 месяцев назад: из-за того, что last_index не был инициализирован, награды накапливались с 2023 года; для исправления нужно добавить поле версии в общий объект и усилить проверки версий, чтобы исключить риски от устаревших пакетов.
ChainNewsAbmedia7ч назад
