26.03.2026 20:55

Merkeziyetsiz finans (DeFi) ekosistemi içinde önemli bir yönetişim açığı meydana geliyor: Moonriver ağındaki Moonwell protokolü, yaklaşık 1,08 milyon dolarlık kullanıcı varlıklarının yönetim kontrolünü ele geçirmek için bilinmeyen bir tarafın koordineli bir girişimiyle karşı karşıya kaldı. Saldırgan, onaylanması halinde yedi kritik kredi pazarının ve Comptroller ve Oracle sistemlerinin kontrolünün hemen fonu boşaltmak üzere tasarlanmış bir cüzdana aktarılmasını öngüren kötü amaçlı bir yönetişim önerisi düzenledi.

Saldırı 24 Mart'ta başladı; rakip, yeni bir dağıtıcı cüzdana fon sağladı ve ardından SolarBeam merkeziyetsiz borsasından 40,17 milyon MFAM jetonu (Moonwell'in yerel yönetişim jetonu) topladı. Bu stratejik birikim saldırganın 1.600 MOVR (yaklaşık 1.808 dolara denk) masrafına mal oldu. Satın almayı takiben, kötü amaçlı bir sözleşmesi dağıtıldı ve "MIP-R39: Protokol Kurtarma – Yönetici Göçü" olarak adlandırılan Öneri #74'nün temeli atıldı. Bu aldatıcı öneri, tüm yedi kredi pazarının, Comptroller ve Oracle sistemlerinin yönetim anahtarlarının doğrudan saldırganın kontrolüne aktarılmasını talep ediyor.

Yönetişim denetim firmaları da dahil olmak üzere endüstri güvenlik analistleri, öneriyi şeffaf bir saldırı olarak hızla tespit etti. İncelemeleri, saldırganın sözleşmesinin kontrol aldıktan sonra her pazarı likidite için gerekli tüm işlemleri zaten içerdiğini doğruladı. Kritik olarak, oylama için belirlenen anlık görüntü bloğunda, saldırganın MFAM hak sahipliği Moonwell'in 40 milyon jetonlu quorum (katılımcı asgari) gereksinimini aştı. Bu teknik eşiği aşma, kötü amaçlı önerinin az bir destekle bile geçebileceği anlamına geliyor ve protokolün jeton tabanlı yönetişim modelindeki derin bir zayıflığı ortaya koyuyor.

Saldırının finansal hesabı aşırıriskli bir getiri profile işaret ediyor. Pazarlarda toplam 1,08 milyon dolarlık kullanıcı fonu risk altında; başarılı bir açıkça saldırganın başlangıçtaki ~1.800 dolarlık yatırımına yaklaşık 597 kat getiri sağlayacak. Bu dengesiz oran, yönetişim jetonu konsantrasyonu ve düşük quorum sistemlerinin yol açtığı tehlikeleri vurguluyor.

Bu olay, Moonwell'in cbETH pazarındaki yanlış yapılandırılmış bir oracle nedeniyle yaklaşık 1,8 milyon dolarlık ayrı bir kayıp yaşadığı, protokolün son güvenlik zorluklarını derinleştiren bir olaydan bir ay bile geçmeden gerçekleşti. Toplum artık zamanla yarışıyor. 26 Mart itibarıyla toplanan oylama verileri, katılan oyların %66,7'sinin misafir öneriye karşı olduğunu gösteriyor. Ancak oylama sonu tarihi 27 Mart 10:28 UTC olarak belirlenmiş ve önerinin potansiyel olarak yürürlüğe girmesi öncesinde artan topluluk üyelerinin önlem alabileceği dar bir zaman penceresi kaldı.