Ein Angreifer gab etwa 1.808 USD aus, um 40 Millionen MFAM-Governance-Token zu kaufen und einen bösartigen Vorschlag durchzusetzen, der, wenn er ausgeführt wird, die vollständige Kontrolle über Moonwells sieben Kreditmärkte und Kern-Smart-Contracts gewähren würde. Dadurch könnte der Exploitator mehr als 1 Million USD an Nutzerfonds abziehen.
Der Vorschlag mit dem Titel „MIP-R39: Protocol Recovery - Admin Migration“ wurde am 24. März 2026 eingereicht, mit einer Abstimmungsfrist, die am 28. März endet. Moonwell, ein Multichain-Kreditprotokoll mit etwa 85 Millionen USD an insgesamt gebundenem Wert, steht nun vor einer kritischen Prüfung seiner dezentralen Governance-Sicherheiten, während die Community-Mitglieder eilig versuchen, die Übernahme zu blockieren.
Die Blockchain-Intelligenzfirma Blockful warnte, dass der Angreifer möglicherweise zusätzliche, nicht offengelegte Wallets mit MFAM-Token besitzt, die genutzt werden könnten, um die Abstimmung im letzten Moment zu kippen. Sie empfahlen, dass die Multisig-Signer von Moonwell eine „Break Glass Guardian“-Funktion aktivieren, um die Admin-Rechte vom Exploitator wegzubewegen.
Angriffsmechanik und potenzielle Auswirkungen
Günstiger Governance-Exploits
Der Angreifer kaufte 40 Millionen MFAM-Token zu etwa 0,000025 USD pro Token und gab rund 1.808 USD aus, um die erforderliche Schwelle für die Einreichung eines Governance-Vorschlags zu erreichen. Der Exploitator nutzte einen Smart Contract, um die Token zu erwerben, wobei Blockful feststellte, dass der Vertrag bösartigen Code enthielt, der automatisiert die Schritte zum Abziehen der Liquidität des Protokolls ausführen sollte, falls der Vorschlag angenommen wird.
Kontrollumfang
Wenn der Vorschlag erfolgreich ist, würde er dem Angreifer die vollständige Kontrolle über die sieben Märkte von Moonwell, die Kern-Smart-Contracts des Protokolls sowie die Möglichkeit geben, mehr als 1 Million USD an Nutzerfonds abzuziehen. Das Protokoll läuft auf Moonbeam (einem Parachain-Netzwerk auf Polkadot) und Moonriver (dem entsprechenden Netzwerk auf Polkadots Entwicklernetzwerk Kusama).
Aktueller Status und Abwehrmaßnahmen
Abstimmungsaktivität
Bis zum 26. März waren etwa 68 % der abgegebenen Stimmen gegen den Vorschlag. Blockful warnte jedoch, dass der Angreifer möglicherweise zusätzliche, nicht identifizierte Wallets mit MFAM-Token besitzt, die vor Ablauf der Frist am Freitag eingesetzt werden könnten, um die Abstimmung zu kippen.
Empfohlene Sicherheitsmaßnahme
Blockful empfahl, dass die Multisig-Signer von Moonwell die „Break Glass Guardian“-Funktion aktivieren, eine Verteidigungsmaßnahme, die die Admin-Rechte vom Angreifer wegbewegt und so sicherstellt, dass die Nutzerfonds unabhängig vom Abstimmungsergebnis geschützt bleiben. „Da der Angreifer noch versteckte Wallets haben könnte, die im letzten Block bei Opposition abstimmen, empfehlen wir dem Kernteam, den Guardian zu verwenden, um die Sicherheit der Nutzerfonds zu garantieren“, erklärte Blockful.
Weiterer Kontext: Schwachstellen in DAO-Governance
Präzedenzfälle
Der Moonwell-Fall reiht sich in eine wachsende Liste von Governance-Exploits und Streitigkeiten im Bereich der dezentralen Finanzen ein:
- Compound Finance (2024): Eine Gruppe von Investoren unter Führung des Pseudonyms Humpy sammelte genügend Governance-Token, um einen Vorschlag durchzusetzen, der etwa 24 Millionen USD aus der Treasury des Projekts in einen privaten Tresor verschieben sollte. Letztlich wurde eine Einigung erzielt.
- Aave (Dezember 2025): Es wurde entdeckt, dass Gebühren, die durch eine Integration mit CoW Swap generiert wurden, direkt an Aave Labs weitergeleitet wurden – eine Entscheidung, die nicht von der DAO des Kreditprotokolls genehmigt war.
Risiko durch Token mit geringem Wert
Der Angriff auf Moonwell zeigt eine spezifische Schwachstelle in Governance-Systemen, die auf Token mit geringem Wert basieren. Durch den Kauf großer Mengen günstiger Token kann ein Angreifer die Quorum-Anforderungen erfüllen und bösartige Vorschläge mit minimalen finanziellen Mitteln einreichen.
Häufig gestellte Fragen
Wie hat der Angreifer die Kontrolle über Moonwells Governance erlangt?
Der Angreifer kaufte 40 Millionen MFAM-Token für etwa 1.808 USD, nutzte sie, um einen Governance-Vorschlag einzureichen, der die Kontrolle über Moonwells Märkte und Kern-Smart-Contracts übertragen sollte, und enthielt bösartigen Code, um im Falle einer Annahme des Vorschlags die Nutzerfonds automatisiert abzuziehen.
Wie ist der aktuelle Stand des Vorschlags?
Die Abstimmung endet am 28. März. Bis zum 26. März waren etwa 68 % der abgegebenen Stimmen gegen den Vorschlag. Sicherheitsexperten warnen jedoch, dass der Angreifer möglicherweise zusätzliche, nicht offengelegte Wallets besitzt, die im letzten Moment die Abstimmung kippen könnten.
Was kann getan werden, um den Angriff zu stoppen?
Die Sicherheitsfirma Blockful empfiehlt, dass die Multisig-Signer von Moonwell die „Break Glass Guardian“-Funktion aktivieren, die die Admin-Rechte vom Angreifer wegbewegt und so die Sicherheit der Nutzerfonds gewährleistet.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
