Moonwell bị tấn công quản trị, kẻ xấu nhắm kiểm soát 1 triệu USD

Giao thức cho vay DeFi Moonwell đang đối mặt một cuộc tấn công quản trị trên triển khai Moonriver, khi kẻ tấn công dùng khoảng 1.800 USD mua 40 triệu MFAM để thông qua đề xuất nhằm giành quyền quản trị 7 hợp đồng cốt lõi và có thể rút khoảng 1,08 triệu USD tiền người dùng.

Sự việc diễn ra cực nhanh: mua token, tạo đề xuất và được phê duyệt trong khoảng 11 phút, khiến cộng đồng phải chạy đua bỏ phiếu và phối hợp để đảo chiều trước khi kết quả cuối cùng chốt vào ngày 27/3.

Diễn biến tấn công quản trị trên Moonriver

Một địa chỉ/đối tượng chưa rõ danh tính đã mua khoảng 40 triệu MFAM với chi phí xấp xỉ 1.800 USD, sau đó tạo đề xuất và đưa đề xuất đi đến trạng thái được phê duyệt trong khoảng 11 phút.

Đề xuất nhắm tới việc chuyển đặc quyền quản trị (administrator privileges) của 7 hợp đồng cốt lõi. Các hợp đồng bị nhắm gồm nhóm liên quan đến lending markets, controllers và oracles, tức các thành phần điều phối thị trường cho vay và nguồn dữ liệu giá.

Nếu việc chuyển quyền admin thành công, kẻ tấn công có thể kiểm soát các tham số vận hành và luồng thực thi của hệ thống trên Moonriver, từ đó mở đường cho hành vi trích xuất khoảng 1,08 triệu USD tiền của người dùng theo ước tính nêu trong báo cáo.

Tình trạng bỏ phiếu và phương án ứng phó

Bỏ phiếu cho đề xuất dự kiến tiếp tục đến ngày 27/3. Dù đã đạt quorum sớm, các phiếu no sau đó đã vượt lên.

Kết quả cuối cùng vẫn phụ thuộc vào lượng phiếu còn lại và mức độ phối hợp của các bên tham gia quản trị trong phần thời gian còn lại. Điều này có nghĩa là trạng thái dẫn trước hiện tại có thể thay đổi nếu có dòng phiếu mới đáng kể.

Ngoài cơ chế bỏ phiếu, Moonwell còn có lựa chọn phủ quyết (veto) đề xuất và giành lại quyền kiểm soát thông qua cơ chế khẩn cấp: emergency multisignature Break Glass Guardian.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.