Moonwell đối mặt với rủi ro 1 triệu USD sau khi kẻ tấn công mua token giá rẻ và đề xuất bỏ phiếu độc hại để kiểm soát các hợp đồng của giao thức cho vay DeFi.
Một nền tảng tài chính phi tập trung có tên Moonwell đang đối mặt với mối đe dọa an ninh nghiêm trọng sau một cuộc tấn công rất rẻ. Sự việc này đã gây bất ngờ cho cộng đồng tiền điện tử vì kẻ tấn công chỉ tiêu khoảng 1800 USD. Theo các báo cáo của Diễn đàn Moonwell, đề xuất này có thể đặt hơn 1.000.000 USD vào tình trạng rủi ro.
Mua Token giá rẻ dẫn đến cuộc tấn công quản trị
Vấn đề bắt đầu khi một kẻ tấn công không rõ danh tính mua khoảng 40.000.000 token MFAM. Những token này có quyền bỏ phiếu trong hệ thống quản trị của Moonwell. Do đó, sở hữu nhiều token có nghĩa là người đó có thể đưa ra các quyết định quan trọng về nền tảng.
Với số token đã mua, kẻ tấn công đã tạo ra một đề xuất quản trị. Đề xuất này cố gắng trao quyền kiểm soát các hợp đồng thông minh quan trọng cho một ví do kẻ tấn công kiểm soát. Các hợp đồng này bao gồm oracle, bộ điều khiển (comptroller), và bảy thị trường cho vay trong giao thức.
Điều gây sốc nhất là tốc độ của cuộc tấn công. Các báo cáo cho biết toàn bộ quá trình chỉ diễn ra trong vòng 11 phút. Đầu tiên, token được mua. Tiếp theo, đề xuất được phát triển. Cuối cùng, cuộc bỏ phiếu đạt đủ số phiếu cần thiết để đề xuất trở thành hoạt động chính thức.
Việc bỏ phiếu cho đề xuất sẽ mở đến ngày 27 tháng 3 năm 2026. Tuy nhiên, nhiều thành viên trong cộng đồng sau đó bắt đầu bỏ phiếu chống lại kế hoạch này. Vì vậy, kết quả cuối cùng của cuộc bỏ phiếu vẫn còn chưa rõ ràng.
Moonwell là một giao thức cho vay trên các mạng Moonbeam và Moonriver. Theo dữ liệu của DefiLlama, hiện tại nền tảng này có khoảng 85 triệu USD bị khóa trong các thị trường của nó. Do đó, việc kiểm soát các hợp đồng này có thể cho phép kẻ tấn công tiếp cận các khoản tiền lớn.
Các vụ khai thác trước đó gây lo ngại về an ninh
Đây không phải lần đầu Moonwell gặp vấn đề. Vào tháng 11 năm 2025, giao thức đã mất một khoản nhỏ 1 triệu USD do lỗi oracle. Giá trị của một token trên nguồn dữ liệu giá của Chainlink đã bị sai.
Vì giá sai, một khoản gửi nhỏ được định giá hơn 116.000 USD. Kết quả là, một bot giao dịch đã sử dụng giá giả này để vay số lượng lớn từ thị trường. Điều này đã rút tiền khỏi các pool của Moonwell trên mạng Base và Optimism.
Sau vụ việc đó, DAO của Moonwell đã phê duyệt một số sửa chữa. Vào ngày 6 tháng 3 năm 2026, cộng đồng đã bỏ phiếu để khôi phục chức năng rút tiền trên Moonriver. Sau đó, vào ngày 9 tháng 3 năm 2026, các nâng cấp hợp đồng mới đã được phê duyệt để sửa các vấn đề tính toán phần thưởng.
Các cập nhật này nhằm đảm bảo an toàn, các nhà phát triển cho biết. Tuy nhiên, cuộc tấn công mới vào quản trị cho thấy vẫn tồn tại rủi ro trong các hệ thống phi tập trung.
Hơn nữa, các cuộc tấn công quản trị rất nguy hiểm vì hacker sử dụng quy tắc bỏ phiếu thay vì hack mã nguồn. Do đó, kẻ tấn công có thể kiểm soát mà không cần phá vỡ trực tiếp các biện pháp an ninh.
Hiện tại, cộng đồng Moonwell đang theo dõi sát sao cuộc bỏ phiếu. Nếu đề xuất không được thông qua, số tiền sẽ vẫn an toàn. Tuy nhiên, sự việc này đã cho thấy ngay cả các cuộc tấn công nhỏ cũng có thể đe dọa hàng triệu USD trong các nền tảng DeFi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Nous Research Phân tích sâu: Phòng thí nghiệm AI phi tập trung của Paradigm đặt cược định giá 1 tỷ, phân tích toàn diện mô hình Hermes và mạng lưới Psyche
Nous Research là một phòng thí nghiệm AI mã nguồn mở, tập trung vào các mô hình thuộc dòng Hermes, và vào năm 2025 đã nhận được 50 triệu đô la đầu tư từ Paradigm, với định giá đạt 1 tỷ. Điểm độc đáo của họ là phát triển công nghệ AI bởi một đội ngũ crypto native rồi tích hợp lại với blockchain. Sản phẩm cốt lõi là mô hình Hermes được thiết kế dựa trên ý tưởng giảm tỷ lệ bị từ chối, và nguồn dữ liệu chủ yếu là dữ liệu tổng hợp. Đồng thời, Psyche Network xây dựng một mạng lưới huấn luyện AI phi tập trung trên Solana, khuyến khích người tham gia thông qua cơ chế token. Nous Research theo đuổi chiến lược mã nguồn mở và phi tập trung, nhằm thể hiện năng lực công nghệ và tính khả thi của mình.
ChainNewsAbmedia1giờ trước
Ondo Finance gửi cho Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) một thư yêu cầu không thực hiện hành động thực thi pháp luật, liên quan đến việc ghi nhận trên chuỗi các quyền của chứng khoán được mã hóa (token hóa)
Ondo Finance vào ngày 13 tháng 4 đã nộp đơn lên SEC, đề nghị xác nhận tính tuân thủ đối với việc ghi nhận quyền lợi chứng khoán trên mainnet Ethereum ở dạng token hóa trong một số mô hình nhất định. Ondo cho rằng việc ghi nhận này trên chuỗi có thể nâng cao giám sát tài sản thế chấp, tối ưu quy trình và đơn giản hóa đối soát, nhằm mục tiêu vận hành song song với tài chính truyền thống.
GateNews3giờ trước
Mạng Pi phân phối 26,5M PI cho 1M trình xác thực KYC
Pi Network đã thực hiện thêm một bước tiến trong việc xây dựng hệ sinh thái của mình. Gần đây, dự án đã phân phối 26,5 triệu token PI cho hơn 1 triệu trình xác thực KYC.
Những phần thưởng này được trao cho các người dùng đã giúp xác minh danh tính trên mạng lưới. Quy trình này là quan trọng. Bởi vì nó đảm bảo rằng
Coinfomania3giờ trước
Aave rơi vào khủng hoảng niềm tin: các nhà cung cấp dịch vụ đồng loạt rời đi, “công nghệ, quản trị và kiểm soát rủi ro” sụp đổ toàn diện
Tác giả: Jae, PANews
So với áp lực bên ngoài của thị trường gấu, bên trong Aave lại xuất hiện trước một “thiên nga đen”.
Aave, vốn từ lâu thống trị vương tọa giao thức cho vay, đang trải qua biến động hệ sinh thái dữ dội nhất kể từ khi thành lập. Không có tấn công tin tặc, không có lỗ hổng mã nguồn; chỉ có sự kiểm soát quyền lực mất kiểm soát và lợi ích quay lưng.
Từ việc nhà trụ cột kỹ thuật BGD Labs quyết dứt ra đi, đến việc phái đoàn tiên phong về quản trị ACI (Aave Chan Initiative) công khai “đứt gãy”, rồi tiếp theo là việc quản gia quản lý rủi ro Chaos Labs chính thức tuyên bố chấm dứt hợp tác, một cuộc “rút lui lớn” của các nhà cung cấp dịch vụ đang diễn ra.
Độ sâu của ván cờ này vượt xa tranh chấp hợp tác, nó đã kích hoạt
区块客4giờ trước
Cơ chế phí ưu tiên cho lệnh được triển khai trước trên mainnet Hyperliquid, giới hạn phí ưu tiên cho lệnh giảm xuống còn 8 bps
Người sáng lập Hyperliquid Jeff đã thông báo trên Discord rằng cơ chế phí ưu tiên đã được triển khai trên mainnet ở chế độ Alpha, bao gồm hai loại: Gossip và Order. Người dùng có thể thanh toán bằng token HYPE; giới hạn phí ưu tiên trên lệnh được giảm từ 20 bps xuống 8 bps, hiện chỉ áp dụng cho các lệnh IOC của tài sản HIP-3.
GateNews5giờ trước
Byreal ra mắt trợ lý giao dịch AI trên chuỗi RealClaw, hỗ trợ mở rộng kỹ năng của bên thứ ba
Byreal đã ra mắt trợ lý giao dịch AI trên chuỗi RealClaw vào ngày 13 tháng 4, công cụ này dựa trên khung OpenClaw, hỗ trợ mở rộng kỹ năng của bên thứ ba, người dùng có thể tự tùy chỉnh chiến lược giao dịch, hiện đang ở giai đoạn thử nghiệm Alpha và chỉ mở cho người dùng được mời.
GateNews5giờ trước
