Moonwell đối mặt với rủi ro 1 triệu USD sau khi kẻ tấn công mua token giá rẻ và đề xuất bỏ phiếu độc hại để kiểm soát các hợp đồng của giao thức cho vay DeFi.
Một nền tảng tài chính phi tập trung có tên Moonwell đang đối mặt với mối đe dọa an ninh nghiêm trọng sau một cuộc tấn công rất rẻ. Sự việc này đã gây bất ngờ cho cộng đồng tiền điện tử vì kẻ tấn công chỉ tiêu khoảng 1800 USD. Theo các báo cáo của Diễn đàn Moonwell, đề xuất này có thể đặt hơn 1.000.000 USD vào tình trạng rủi ro.
Mua Token giá rẻ dẫn đến cuộc tấn công quản trị
Vấn đề bắt đầu khi một kẻ tấn công không rõ danh tính mua khoảng 40.000.000 token MFAM. Những token này có quyền bỏ phiếu trong hệ thống quản trị của Moonwell. Do đó, sở hữu nhiều token có nghĩa là người đó có thể đưa ra các quyết định quan trọng về nền tảng.
Với số token đã mua, kẻ tấn công đã tạo ra một đề xuất quản trị. Đề xuất này cố gắng trao quyền kiểm soát các hợp đồng thông minh quan trọng cho một ví do kẻ tấn công kiểm soát. Các hợp đồng này bao gồm oracle, bộ điều khiển (comptroller), và bảy thị trường cho vay trong giao thức.
Điều gây sốc nhất là tốc độ của cuộc tấn công. Các báo cáo cho biết toàn bộ quá trình chỉ diễn ra trong vòng 11 phút. Đầu tiên, token được mua. Tiếp theo, đề xuất được phát triển. Cuối cùng, cuộc bỏ phiếu đạt đủ số phiếu cần thiết để đề xuất trở thành hoạt động chính thức.
Việc bỏ phiếu cho đề xuất sẽ mở đến ngày 27 tháng 3 năm 2026. Tuy nhiên, nhiều thành viên trong cộng đồng sau đó bắt đầu bỏ phiếu chống lại kế hoạch này. Vì vậy, kết quả cuối cùng của cuộc bỏ phiếu vẫn còn chưa rõ ràng.
Moonwell là một giao thức cho vay trên các mạng Moonbeam và Moonriver. Theo dữ liệu của DefiLlama, hiện tại nền tảng này có khoảng 85 triệu USD bị khóa trong các thị trường của nó. Do đó, việc kiểm soát các hợp đồng này có thể cho phép kẻ tấn công tiếp cận các khoản tiền lớn.
Các vụ khai thác trước đó gây lo ngại về an ninh
Đây không phải lần đầu Moonwell gặp vấn đề. Vào tháng 11 năm 2025, giao thức đã mất một khoản nhỏ 1 triệu USD do lỗi oracle. Giá trị của một token trên nguồn dữ liệu giá của Chainlink đã bị sai.
Vì giá sai, một khoản gửi nhỏ được định giá hơn 116.000 USD. Kết quả là, một bot giao dịch đã sử dụng giá giả này để vay số lượng lớn từ thị trường. Điều này đã rút tiền khỏi các pool của Moonwell trên mạng Base và Optimism.
Sau vụ việc đó, DAO của Moonwell đã phê duyệt một số sửa chữa. Vào ngày 6 tháng 3 năm 2026, cộng đồng đã bỏ phiếu để khôi phục chức năng rút tiền trên Moonriver. Sau đó, vào ngày 9 tháng 3 năm 2026, các nâng cấp hợp đồng mới đã được phê duyệt để sửa các vấn đề tính toán phần thưởng.
Các cập nhật này nhằm đảm bảo an toàn, các nhà phát triển cho biết. Tuy nhiên, cuộc tấn công mới vào quản trị cho thấy vẫn tồn tại rủi ro trong các hệ thống phi tập trung.
Hơn nữa, các cuộc tấn công quản trị rất nguy hiểm vì hacker sử dụng quy tắc bỏ phiếu thay vì hack mã nguồn. Do đó, kẻ tấn công có thể kiểm soát mà không cần phá vỡ trực tiếp các biện pháp an ninh.
Hiện tại, cộng đồng Moonwell đang theo dõi sát sao cuộc bỏ phiếu. Nếu đề xuất không được thông qua, số tiền sẽ vẫn an toàn. Tuy nhiên, sự việc này đã cho thấy ngay cả các cuộc tấn công nhỏ cũng có thể đe dọa hàng triệu USD trong các nền tảng DeFi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Aave Đề xuất 25.000 ETH cho Quỹ Hỗ trợ Khắc phục Vụ khai thác của Kelp DAO
Các nhà cung cấp dịch vụ của Aave đã đưa ra một đề xuất quản trị vào thứ Sáu nhằm đóng góp trị giá 25.000 ETH, gần $58 triệu, từ DAO của giao thức tới DeFi United, một nỗ lực cứu trợ phối hợp nhằm khôi phục hỗ trợ cho rsETH sau vụ khai thác của Kelp DAO. Khoản đóng góp được đề xuất nhằm đóng lại phần còn lại của rema
CryptoFrontier6giờ trước
XRP Breakout Giữ Vững Khi Phiếu Bầu Cho Vay Trên XRPL Tăng Lực
Những hiểu biết chính
XRP duy trì sức mạnh theo tuần vượt trội so với các loại tiền mã hóa lớn khác khi giá vẫn nằm trên các EMA quan trọng, phản ánh động lượng bền vững mặc dù có các sụt giảm nhỏ trong từng phiên giao dịch theo ngày.
Các validator của XRPL tiến hành các nâng cấp cho vay thông qua XLS-65 và XLS-66, giới thiệu các vault thanh khoản gộp và f
CryptoNewsLand7giờ trước
XRP Bứt Phá Giữ Vững Khi Phiếu Bầu Cho Vay Trên XRPL Tăng Đà
XRP cho thấy sức mạnh theo tuần, giao dịch trên các đường EMA sau khi phá vỡ một mô hình nêm giảm dần; XRPL tiến xa với các nâng cấp cho vay XLS-65/66 nhờ các quỹ dự trữ gộp và các khoản vay theo kỳ hạn cố định; các phái sinh tăng về khối lượng giao dịch, số lượng lệnh mở và hoạt động quyền chọn.
Tóm tắt: Báo cáo này ghi nhận đà tăng theo tuần bền bỉ và sức mạnh giá của XRP, nằm trên các đường trung bình động quan trọng sau khi có đột phá từ một mô hình nêm giảm dần. Nó đề cập việc các bộ xác thực của XRPL bỏ phiếu cho XLS-65 và XLS-66, cho phép cho vay bản địa, các kho tiền thanh khoản gộp và các khoản vay theo kỳ hạn cố định để mở rộng hoạt động tài chính trên chuỗi. Báo cáo cũng ghi nhận sự gia tăng mức độ tham gia của thị trường phái sinh, với khối lượng giao dịch cao hơn, lãi suất mở và sự bùng nổ trong hoạt động quyền chọn, cho thấy sự gia tăng vị thế của nhà giao dịch cho một đợt đột phá tiếp diễn.
CryptoNewsLand7giờ trước
Charles Hoskinson Ra Mắt Midnight Với $250M Trong Tiền Gửi Được Token Hóa Từ Monument Bank
Tin cổng thông tin, ngày 25 tháng 4 — Charles Hoskinson, nhà sáng lập Cardano, đã ra mắt Midnight, một dự án blockchain tập trung vào quyền riêng tư, với khoảng $250 triệu đô la tiền gửi được token hóa từ Monument Bank. Quan hệ đối tác này đại diện cho một sự hợp tác mang tính tổ chức đáng kể, nhằm tích hợp công nghệ blockchain với các hệ thống tài chính được quản lý, nhắm tới mục tiêu tích hợp blockc
GateNews10giờ trước
Báo cáo xu hướng ETF của JPMorgan: API hóa, chủ động chiếm 83%, mã hóa chia thành hai lộ trình tổng hợp và gốc
Báo cáo của JPMorgan chỉ ra ba xu hướng lớn: 1) giao dịch tự động hóa API của AP chiếm khoảng 50% lưu lượng thị trường cấp 1; 2) vào năm 2025, ETF chủ động chiếm 83% trong các đợt phát hành mới, dự kiến sẽ trở thành xu hướng chính trong giai đoạn 2026–27; 3) token hóa được chia thành hai lộ trình: dạng tổng hợp (phản chiếu giá qua các công cụ phái sinh) và dạng gốc (phát hành trên blockchain). Báo cáo nhấn mạnh việc nâng cao tính minh bạch và quản trị bằng các công cụ như Athena, đồng thời theo dõi tiến độ tiếp theo và lộ trình thời điểm chính thức hóa sản phẩm.
ChainNewsAbmedia10giờ trước
Trưởng bộ phận sản phẩm Drift Minh Don dự định tái khởi động sàn giao dịch đã bị fork vào tháng 5 hoặc tháng 6
Tin tức từ Gate, ngày 25 tháng 4 — Theo một tuyên bố được đưa ra trên máy chủ Discord chính thức, trưởng bộ phận sản phẩm của Drift Protocol, Minh Don, đã công bố kế hoạch tái khởi động sàn giao dịch đã bị fork vào tháng 5 hoặc tháng 6. Đội ngũ sẽ dành vài tuần để tối ưu hóa cơ sở mã, loại bỏ và thêm các tính năng mà, dù nhỏ, được kỳ vọng sẽ có tác động đáng kể.
GateNews11giờ trước
