Moonwell đối mặt với rủi ro 1 triệu USD sau khi kẻ tấn công mua token giá rẻ và đề xuất bỏ phiếu độc hại để kiểm soát các hợp đồng của giao thức cho vay DeFi.
Một nền tảng tài chính phi tập trung có tên Moonwell đang đối mặt với mối đe dọa an ninh nghiêm trọng sau một cuộc tấn công rất rẻ. Sự việc này đã gây bất ngờ cho cộng đồng tiền điện tử vì kẻ tấn công chỉ tiêu khoảng 1800 USD. Theo các báo cáo của Diễn đàn Moonwell, đề xuất này có thể đặt hơn 1.000.000 USD vào tình trạng rủi ro.
Mua Token giá rẻ dẫn đến cuộc tấn công quản trị
Vấn đề bắt đầu khi một kẻ tấn công không rõ danh tính mua khoảng 40.000.000 token MFAM. Những token này có quyền bỏ phiếu trong hệ thống quản trị của Moonwell. Do đó, sở hữu nhiều token có nghĩa là người đó có thể đưa ra các quyết định quan trọng về nền tảng.
Với số token đã mua, kẻ tấn công đã tạo ra một đề xuất quản trị. Đề xuất này cố gắng trao quyền kiểm soát các hợp đồng thông minh quan trọng cho một ví do kẻ tấn công kiểm soát. Các hợp đồng này bao gồm oracle, bộ điều khiển (comptroller), và bảy thị trường cho vay trong giao thức.
Điều gây sốc nhất là tốc độ của cuộc tấn công. Các báo cáo cho biết toàn bộ quá trình chỉ diễn ra trong vòng 11 phút. Đầu tiên, token được mua. Tiếp theo, đề xuất được phát triển. Cuối cùng, cuộc bỏ phiếu đạt đủ số phiếu cần thiết để đề xuất trở thành hoạt động chính thức.
Việc bỏ phiếu cho đề xuất sẽ mở đến ngày 27 tháng 3 năm 2026. Tuy nhiên, nhiều thành viên trong cộng đồng sau đó bắt đầu bỏ phiếu chống lại kế hoạch này. Vì vậy, kết quả cuối cùng của cuộc bỏ phiếu vẫn còn chưa rõ ràng.
Moonwell là một giao thức cho vay trên các mạng Moonbeam và Moonriver. Theo dữ liệu của DefiLlama, hiện tại nền tảng này có khoảng 85 triệu USD bị khóa trong các thị trường của nó. Do đó, việc kiểm soát các hợp đồng này có thể cho phép kẻ tấn công tiếp cận các khoản tiền lớn.
Các vụ khai thác trước đó gây lo ngại về an ninh
Đây không phải lần đầu Moonwell gặp vấn đề. Vào tháng 11 năm 2025, giao thức đã mất một khoản nhỏ 1 triệu USD do lỗi oracle. Giá trị của một token trên nguồn dữ liệu giá của Chainlink đã bị sai.
Vì giá sai, một khoản gửi nhỏ được định giá hơn 116.000 USD. Kết quả là, một bot giao dịch đã sử dụng giá giả này để vay số lượng lớn từ thị trường. Điều này đã rút tiền khỏi các pool của Moonwell trên mạng Base và Optimism.
Sau vụ việc đó, DAO của Moonwell đã phê duyệt một số sửa chữa. Vào ngày 6 tháng 3 năm 2026, cộng đồng đã bỏ phiếu để khôi phục chức năng rút tiền trên Moonriver. Sau đó, vào ngày 9 tháng 3 năm 2026, các nâng cấp hợp đồng mới đã được phê duyệt để sửa các vấn đề tính toán phần thưởng.
Các cập nhật này nhằm đảm bảo an toàn, các nhà phát triển cho biết. Tuy nhiên, cuộc tấn công mới vào quản trị cho thấy vẫn tồn tại rủi ro trong các hệ thống phi tập trung.
Hơn nữa, các cuộc tấn công quản trị rất nguy hiểm vì hacker sử dụng quy tắc bỏ phiếu thay vì hack mã nguồn. Do đó, kẻ tấn công có thể kiểm soát mà không cần phá vỡ trực tiếp các biện pháp an ninh.
Hiện tại, cộng đồng Moonwell đang theo dõi sát sao cuộc bỏ phiếu. Nếu đề xuất không được thông qua, số tiền sẽ vẫn an toàn. Tuy nhiên, sự việc này đã cho thấy ngay cả các cuộc tấn công nhỏ cũng có thể đe dọa hàng triệu USD trong các nền tảng DeFi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
