DeFi-протокол Moonwell сталкивается с угрозой в размере 1 миллиона долларов после покупки дешёвых токенов

Moonwell рискует потерять 1 миллион долларов после того, как злоумышленник приобрел дешевые токены и подал вредоносное предложение по голосованию, чтобы получить контроль над контрактами протокола DeFi.

Децентрализованная финансовая платформа Moonwell сталкивается с серьезной угрозой безопасности после очень дешевого взлома. Инцидент стал сюрпризом для криптосообщества, поскольку злоумышленник потратил всего 1800 долларов. Согласно отчетам форума Moonwell, это предложение может поставить под угрозу более 1 000 000 долларов.

Дешевое приобретение токенов приводит к атаке на управление

Проблема началась с того, что неизвестный злоумышленник приобрел около 40 000 000 токенов MFAM. Эти токены дают право голоса в системе управления Moonwell. Поэтому владение большим количеством токенов позволяет принимать важные решения по платформе.

Обладая токенами, злоумышленник сформировал предложение по управлению. В нем предполагалось передать контроль над важными смарт-контрактами кошельку, контролируемому злоумышленником. Эти контракты включают оракул, контроллер и семь рынков кредитования внутри протокола.

Самым поразительным было быстродействие атаки. По сообщениям, весь процесс занял всего 11 минут. Сначала были приобретены токены. Затем — подготовлено предложение. В конце голосование достигло кворума, то есть достаточного количества голосов для активации предложения.

Голосование по предложению будет открыто до 27 марта 2026 года. Однако многие участники сообщества позже начали голосовать против этого плана. Поэтому окончательный результат по вопросу остается неопределенным.

Moonwell — это протокол кредитования на сетях Moonbeam и Moonriver. Согласно данным DefiLlama, в настоящее время платформа заблокировала примерно 85 000 000 долларов в своих рынках. Поэтому возможность контролировать контракты означает, что злоумышленник потенциально может получить доступ к крупным средствам.

Предыдущая уязвимость вызвала опасения по безопасности

Это не первый случай, когда Moonwell сталкивается с проблемой. В ноябре 2025 года протокол потерял небольшую сумму в 1 000 000 долларов из-за ошибки оракула. Значение токена в ценовом фиде Chainlink было неправильным.

Из-за неправильной цены небольшие депозиты оценивались в более чем 116 000 долларов. В результате торговый бот использовал фальшивое значение для заимствования огромных сумм на рынке. Это привело к тому, что средства были выведены из пулов Moonwell на базовой сети и Optimism.

После этого инцидента DAO Moonwell одобрил ряд исправлений. 6 марта 2026 года сообщество проголосовало за восстановление возможности снятия средств на Moonriver. Позже, 9 марта 2026 года, были одобрены обновления контрактов для исправления проблем с расчетом наград.

Эти обновления были направлены на безопасность, сообщили разработчики. Однако новая атака на управление показывает, что в децентрализованных системах существуют риски.

Более того, атаки на управление опасны, потому что злоумышленники используют правила голосования, а не взлом кода. Поэтому они могут получить контроль, не нарушая напрямую безопасность.

На данный момент сообщество Moonwell внимательно следит за голосованием. Если предложение не пройдет, средства останутся в безопасности. Однако инцидент показал, что даже небольшие атаки могут угрожать миллионам долларов на платформах DeFi.