Prendre le contrôle d'un protocole DeFi à 85 millions de dollars avec moins de 2 000 dollars - Bienvenue dans le cas Moonwell

Moonwell : une prise de contrôle à moins de 2 000 dollars

La force de la finance décentralisée (DeFi) - basée sur une gestion communautaire et des smart contracts autonomes - pourrait-elle également représenter l'une de ses principales failles ? C'est ce que laisse penser l'affaire qui frappe actuellement le protocole de prêt multichain Moonwell, estimé à 85 millions de dollars de TVL sur DefiLlama.

En effet, de récentes informations publiées par le compte Blockful.eth sur le réseau X font état d'une « attaque de gouvernance active » menée à son encontre par un acteur malveillant, suite à une procédure qui lui a pris seulement une dizaine de minutes pour un coût total estimé à tout juste un peu plus de 1 800 dollars.

💡 Comment sécuriser votre environnement numérique et financier ?

En cause ? Une « proposition de gouvernance à haut risque », nommée : MIP-R39 : Protocol Recovery - Admin Migration, qui pourrait notamment lui permettre de drainer plus d'1 million de dollars de fonds des utilisateurs de ce protocole, soit l'équivalent de 600 fois sa mise initiale. Mais ce n'est pas tout...

La proposition transfère le contrôle administrateur de 7 marchés de prêt, du Comptroller et de l'Oracle vers le contrat de l'attaquant. Une fois administrateur, il peut manipuler/vider chaque marché.

L'attaquant pourrait prendre le contrôle de 7 marchés du protocole Moonwell

Mise en place d'une procédure défensive « Break Glass Guardian » ?

Face à cette situation, les membres de Blockful tentent de trouver un moyen de limiter le champ d'action de cette attaque si toutefois la proposition venait à passer. En effet, même si elle affiche actuellement une opposition franche de presque 70 %, rien ne permet d'affirmer que l'attaquant n'attende pas le dernier moment pour sortir une quantité suffisante de tokens MFAM afin de renverser la balance à son avantage, en plus des 40 millions d'unités déjà achetées pour mener cette attaque de gouvernance.

De ce fait, ils recommandent aux autres portefeuilles actifs de regrouper leur pouvoir, apparemment suffisant pour vaincre l'attaquant, en particulier car acheter des tokens MFAM ne sert plus à rien suite au snapshot pris au moment du dépôt de la proposition.

📰 Balancer Labs annonce sa fermeture suite au hack de novembre dernier - Qu'est-ce que cela implique ?

Un autre chemin de défense est le « Break Glass Guardian », un multisig 2-sur-3 qui peut contourner le verrou temporel et mettre les pouvoirs d'administration hors de portée de l'attaquant avant l'exécution. Si 2 des 3 signataires agissent, la proposition ne peut pas être exécutée, même si elle passe.

Dans l'état actuel des choses, tenter de contrer le vote reste « la voie impliquant le moins d'effets secondaires, mais également le plus de risques ». Quoi qu'il en soit, le délai limite pour voter sur cette proposition intervient le 27 mars à 11h28.

Sources : Blockful, Proposition, Break Glass Guardian

Passionné par les cryptomonnaies et le principe de décentralisation depuis de nombreuses années, je souhaite partager cette expérience avec le plus grand nombre. Je m'attache également à décrypter les enjeux associés à l'évolution de cet écosystème au sein de la finance traditionnelle.

Hugh Bernard

735 articles

Tous ses articles