Un atacante gastó aproximadamente $1,808 para comprar 40 millones de tokens de gobernanza MFAM y aprobar una propuesta maliciosa que, si se ejecuta, otorgaría control total sobre los siete mercados de préstamo de Moonwell y los contratos inteligentes principales, permitiendo al explotador drenar más de $1 millón en fondos de los usuarios.
La propuesta, titulada “MIP-R39: Recuperación del Protocolo - Migración de Administrador”, fue presentada el 24 de marzo de 2026, con la votación programada para concluir el 28 de marzo. Moonwell, un protocolo de préstamos multichain con aproximadamente $85 millones en valor total bloqueado, enfrenta ahora una prueba crítica de sus salvaguardas de gobernanza descentralizada mientras los miembros de la comunidad intentan bloquear la toma de control.
La firma de inteligencia blockchain Blockful advirtió que el atacante podría tener billeteras adicionales no divulgadas con tokens MFAM que podrían usarse para revertir la votación en el último momento, recomendando que los firmantes del multisig de Moonwell activen un “Guardian de Emergencia” para mover los poderes administrativos lejos del explotador.
Mecánica del Ataque y Potencial Impacto
Explotación de Gobernanza de Bajo Costo
El atacante compró 40 millones de tokens MFAM a un precio de aproximadamente $0.000025 por token, gastando alrededor de $1,808 para alcanzar el umbral necesario para presentar una propuesta de gobernanza. El explotador utilizó un contrato inteligente para adquirir los tokens, y Blockful señaló que el contrato contenía código malicioso diseñado para automatizar los pasos necesarios para drenar la liquidez del protocolo si la propuesta se ejecuta.
Alcance del Control
Si tiene éxito, la propuesta daría al atacante control total sobre los siete mercados de Moonwell, los contratos inteligentes principales del protocolo, y permitiría drenar más de $1 millón en fondos de los usuarios. El protocolo opera en Moonbeam (una parachain en Polkadot) y Moonriver (la red equivalente en Kusama, la red de desarrolladores de Polkadot).
Estado Actual y Medidas de Defensa
Actividad de Votación
Hasta el 26 de marzo, aproximadamente el 68% de los votos emitidos estaban en contra de la propuesta. Sin embargo, Blockful advirtió que el atacante podría tener billeteras adicionales no identificadas con MFAM que podrían ser desplegadas para revertir la votación antes de la fecha límite del viernes.
Medida de Seguridad Recomendada
Blockful recomendó que los firmantes del multisig de Moonwell activen el “Guardian de Emergencia”, un mecanismo defensivo que movería los poderes administrativos lejos del atacante, asegurando que los fondos de los usuarios permanezcan seguros independientemente del resultado de la votación. “Dado que el atacante aún puede tener billeteras ocultas, listas para votar en el último bloque en caso de oposición, recomendamos que el equipo central utilice el Guardian para garantizar la seguridad de los fondos de los usuarios,” afirmó Blockful.
Contexto Más Amplio: Vulnerabilidades en la Gobernanza DAO
Casos Precedentes
El episodio de Moonwell se suma a una lista creciente de exploits y disputas en la gobernanza de finanzas descentralizadas:
- Compound Finance (2024): Un grupo de inversores liderado por el usuario pseudónimo Humpy acumuló suficientes tokens de gobernanza para aprobar una propuesta que habría movido aproximadamente $24 millones del tesoro del proyecto a una bóveda privada. Finalmente, se alcanzó una tregua.
- Aave (diciembre de 2025): Se descubrió que las tarifas generadas por una integración con CoW Swap se estaban dirigiendo directamente a Aave Labs, una decisión no aprobada por la DAO del protocolo de préstamos.
Riesgo de Tokens de Bajo Valor
El ataque a Moonwell destaca una vulnerabilidad específica en los sistemas de gobernanza que dependen de tokens de bajo valor. Al comprar una gran cantidad de tokens económicos, un atacante puede cumplir con los requisitos de quórum y presentar propuestas maliciosas con una inversión financiera mínima.
Preguntas Frecuentes
¿Cómo obtuvo el atacante control sobre la gobernanza de Moonwell?
El atacante compró 40 millones de tokens MFAM por aproximadamente $1,808, los utilizó para presentar una propuesta de gobernanza que transferiría el control sobre los mercados y contratos inteligentes principales de Moonwell, e incluyó código malicioso para automatizar el drenaje de fondos de los usuarios si la propuesta se aprueba.
¿Cuál es el estado actual de la propuesta?
La votación termina el 28 de marzo. Hasta el 26 de marzo, aproximadamente el 68% de los votos emitidos estaban en contra. Sin embargo, los analistas de seguridad advierten que el atacante podría tener billeteras adicionales no divulgadas que podrían usarse para revertir la votación en el último momento.
¿Qué se puede hacer para detener el ataque?
La firma de seguridad Blockful recomienda que los firmantes del multisig de Moonwell activen el mecanismo “Guardian de Emergencia”, que movería los poderes administrativos lejos del atacante independientemente del resultado de la votación, asegurando que los fondos de los usuarios permanezcan seguros.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
