620 ezer forint és 11 perc. Ennyi kellett egy támadónak, hogy kifosszon egy kriptoprojektet
Cikk meghallgatása
Mindössze 11 perc és 1 808 dollár, azaz 620 ezer forint. Ennyi időt és pénzt költött egy támadó egy olyan irányítási javaslat kidolgozására, amely a teljes Moonwell-protokoll megszerzését célozta meg.
A Moonwell egy multichain hitelezési protokoll, amely likviditást biztosít a Moonbeam és a Moonriver ökoszisztémák számára. A DefiLlama szerint összesen körülbelül 85 millió dollár értékű likviditás van benne. A Moonbeam egy parachain hálózat a Polkadot-on, a Moonriver pedig a Polkadot fejlesztői hálózatán, a Kusamán működő hálózat.
Moonwell teljes lekötött érték
Ha a támadó javaslata átmenne, akkor teljes ellenőrzést szerezne a hitelezési protokoll kulcsfontosságú elemei felett, beleértve annak hét piacát és a protokoll alapvető okosszerződését. A Blockful blokklánc-elemző cég szerint ez lehetővé tenné a támadó számára, hogy több mint 1 millió dollárnyi felhasználói pénzt szerezzen meg.
A javaslatról szóló szavazás pénteken zárul. Az MFAM, a Moonwell irányítási tokenjének birtokosai még mindig szavazhatnak a javaslat ellen, hogy megakadályozzák annak elfogadását. A javaslatra leadott szavazatok alapján a cikk írasakor a szavazatok 68%-a ellene szólt.
Szavazás állása
A Blockful azonban arra figyelmeztet, hogy a támadónak lehetnek további, eddig beazonosítatlan tárcái is, amelyekben MFAM tokent tart, és amelyeket felhasználhat. Ennek megakadályozására a Blockful azt javasolja, hogy a Moonwell multisig aláírói tegyenek lépéseket az adminisztrátori jogosultságok elvétele érdekében a támadótól – ez a fórumbejegyzések szerint a „Break Glass Guardian” nevű védekező intézkedés.
„Mivel a támadónak még mindig lehetnek rejtett tárcái, amelyekkel beszállhat a szavazásba az utolsó pillanatokban, azt javasoljuk a core csapatnak, hogy használja a Guardian-t védekezésként.”
A támadás elemzése
A Moonwell támadója 40 millió MFAM tokent vásárolt, hogy javaslatot tegyen, majd a javaslatot a meglévő szükséges többségi szavazati joggal el is fogadta. Mivel a token ára a vásárlás előtt 0,000025 dollár volt, a támadó körülbelül 1800 dollárt költött arra, hogy kedden benyújtsa a „MIP-R39: Protocol Recovery – Admin Migration” javaslatot.
A támadó egy okosszerződést használt a tokenek megvásárlásához. A Blockful azt is jelezte, hogy az okosszerződés rosszindulatú kódot tartalmazott, amely automatizálta volna a protokoll likviditásának kiürítéséhez szükséges lépéseket. „Ez a javaslat egyértelműen támadás.” – írta szerdán a blokklánc elemző cég.