Một hacker đã chi khoảng 1.808 USD để mua 40 triệu token quản trị MFAM và thúc đẩy một đề xuất độc hại, nếu được thực thi, sẽ trao quyền kiểm soát hoàn toàn bảy thị trường cho vay của Moonwell và các hợp đồng thông minh cốt lõi, cho phép kẻ khai thác rút hết hơn 1 triệu USD quỹ người dùng.
Đề xuất có tiêu đề “MIP-R39: Phục hồi Giao thức - Di chuyển Quản trị viên,” đã được gửi vào ngày 24 tháng 3 năm 2026, với cuộc bỏ phiếu dự kiến kết thúc vào ngày 28 tháng 3. Moonwell, một giao thức cho vay đa chuỗi với tổng giá trị khóa khoảng 85 triệu USD, hiện đang đối mặt với thử thách quan trọng về các biện pháp bảo vệ quản trị phi tập trung của mình khi cộng đồng cố gắng ngăn chặn việc chiếm đoạt.
Công ty phân tích blockchain Blockful cảnh báo rằng hacker có thể còn giữ các ví chưa được tiết lộ chứa token MFAM khác, có thể được sử dụng để đảo ngược kết quả bỏ phiếu vào phút chót, khuyên rằng các người ký multisig của Moonwell nên kích hoạt “Break Glass Guardian” để chuyển quyền quản trị khỏi tay kẻ tấn công.
Cơ chế tấn công và tác động tiềm năng
Khai thác quản trị giá thấp
Kẻ tấn công đã mua 40 triệu token MFAM với giá khoảng 0,000025 USD mỗi token, tiêu khoảng 1.808 USD để đạt ngưỡng cần thiết gửi đề xuất quản trị. Kẻ khai thác sử dụng hợp đồng thông minh để mua token, và Blockful nhận định rằng hợp đồng này chứa mã độc nhằm tự động hóa các bước cần thiết để rút hết thanh khoản của giao thức nếu đề xuất được thực thi.
Phạm vi kiểm soát
Nếu thành công, đề xuất sẽ trao cho hacker quyền kiểm soát toàn bộ bảy thị trường của Moonwell, các hợp đồng thông minh cốt lõi của giao thức, và cho phép rút hơn 1 triệu USD quỹ người dùng. Giao thức hoạt động trên Moonbeam (một chuỗi phụ trên Polkadot) và Moonriver (mạng tương đương trên mạng phát triển của Polkadot là Kusama).
Tình trạng hiện tại và các biện pháp phòng vệ
Hoạt động bỏ phiếu
Tính đến ngày 26 tháng 3, khoảng 68% số phiếu đã bỏ là phản đối đề xuất. Tuy nhiên, Blockful cảnh báo rằng hacker có thể còn giữ các ví chưa được xác định chứa MFAM, có thể được sử dụng để đảo ngược kết quả bỏ phiếu vào phút chót.
Các biện pháp bảo vệ đề xuất
Blockful khuyên các người ký multisig của Moonwell nên kích hoạt “Break Glass Guardian,” một cơ chế phòng thủ giúp chuyển quyền quản trị khỏi tay hacker, đảm bảo quỹ người dùng an toàn bất kể kết quả bỏ phiếu ra sao. “Vì hacker vẫn có thể giữ các ví ẩn, sẵn sàng bỏ phiếu trong khối cuối cùng nếu có phản đối, chúng tôi khuyên nhóm cốt lõi sử dụng Guardian để đảm bảo an toàn cho quỹ người dùng,” Blockful cho biết.
Bối cảnh rộng hơn: Các lỗ hổng trong quản trị DAO
Các vụ tiền lệ
Tình huống của Moonwell góp phần vào danh sách ngày càng tăng các vụ khai thác và tranh chấp về quản trị trong tài chính phi tập trung:
-
Compound Finance (2024) : Một nhóm nhà đầu tư do người dùng ẩn danh Humpy dẫn đầu đã tích lũy đủ token quản trị để thúc đẩy một đề xuất chuyển khoảng 24 triệu USD từ kho bạc của dự án vào một kho riêng tư. Cuối cùng, đã đạt được thỏa thuận hòa bình.
-
Aave (tháng 12 năm 2025) : Phát hiện ra rằng phí do tích hợp với CoW Swap tạo ra đang được chuyển trực tiếp đến Aave Labs, một quyết định không được DAO của giao thức cho vay phê duyệt.
Rủi ro từ token giá trị thấp
Vụ tấn công của Moonwell làm nổi bật một lỗ hổng cụ thể trong các hệ thống quản trị dựa trên token có giá trị thấp. Bằng cách mua một lượng lớn token rẻ tiền, hacker có thể đáp ứng yêu cầu bỏ phiếu tối thiểu và gửi các đề xuất độc hại với chi phí tài chính tối thiểu.
Các câu hỏi thường gặp
Làm thế nào hacker kiểm soát được quản trị của Moonwell?
Hacker đã mua 40 triệu token MFAM với khoảng 1.808 USD, dùng chúng để gửi đề xuất quản trị nhằm chuyển quyền kiểm soát các thị trường và hợp đồng thông minh cốt lõi của Moonwell, đồng thời tích hợp mã độc để tự động rút hết quỹ người dùng nếu đề xuất được thông qua.
Tình trạng hiện tại của đề xuất ra sao?
Cuộc bỏ phiếu kết thúc vào ngày 28 tháng 3. Tính đến ngày 26 tháng 3, khoảng 68% số phiếu đã bỏ là phản đối đề xuất. Tuy nhiên, các nhà phân tích an ninh cảnh báo rằng hacker có thể còn giữ các ví chưa được tiết lộ, có thể được sử dụng để đảo ngược kết quả bỏ phiếu vào phút chót.
Có thể làm gì để ngăn chặn cuộc tấn công này?
Công ty an ninh Blockful khuyên các người ký multisig của Moonwell nên kích hoạt cơ chế “Break Glass Guardian,” giúp chuyển quyền quản trị khỏi tay hacker bất kể kết quả bỏ phiếu ra sao, đảm bảo quỹ người dùng an toàn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
