1800美元如何撼动百万资产安全?

去中心化借贷协议Moonwell正面临其Moonriver部署上的实时治理攻击。攻击者以约1800美元购入近4000万枚MFAM代币,迅速获得关键合约管理权限的控制权。该恶意提案涵盖七个借贷市场及审计、预言机系统,若成功执行,将导致约108万美元用户资金被提取。从代币获取到提案通过,全过程仅耗时约11分钟,暴露出治理机制在特定条件下被极低成本攻破的严重缺陷。

治理机制为何成为攻击突破口?

Moonwell的治理依赖于MFAM代币持有者的投票,而当前代币分布高度集中且流动性薄弱,使得少量资金即可转化为决定性话语权。波卡生态内的协议设计本意是鼓励社区参与,但实际参与度不足与代币分配失衡,为单一实体积累控制力创造了条件。无需广泛共识,仅靠资本优势即可推动提案通过,反映出代币治理在缺乏有效制衡机制下的结构性风险。

能否及时阻止这场治理劫持?

治理投票将持续至3月27日,仍存干预窗口。尽管初期提案迅速达成法定票数,但后续风向已出现逆转,越来越多持有者开始反对。阻止路径包括:代币持有者联合否决提案,或启用“紧急守护者”多签机制进行强制干预,绕过常规流程撤销异常权限。两种方式分别代表去中心化自治与应急保护之间的张力,也反映当前协议在安全性与灵活性间的艰难平衡。

DeFi治理困局再被揭开

Moonwell事件并非孤立案例。此前已有如Beanstalk闪电贷攻击、Compound与Swerve Finance等因代币集中引发争议的治理事件。相较之下,本次攻击成本极低,无需复杂金融工具,仅靠代币购买即完成控制,说明治理漏洞具有普遍性和可重复性。叠加此前因预言机配置问题产生的180万美元坏账,显示流动性有限、参与分散的借贷市场在运营与治理层面持续面临多重挑战,亟需更健全的防御机制与激励结构。