Por Canuto Moonwell, un protocolo de préstamos multichain con alrededor de USD $85.000.000 en valor bloqueado, enfrenta una propuesta de gobernanza que un atacante logró impulsar tras gastar apenas USD $1.808 en tokens MFAM. El caso reabre el debate sobre los riesgos de usar activos de muy bajo valor como llave de control en estructuras DAO.
***
- El atacante compró 40 millones de tokens MFAM y presentó una propuesta que, de aprobarse, le daría control sobre componentes críticos de Moonwell.
- Según Blockful, la ejecución de la propuesta permitiría drenar más de USD $1.000.000 en fondos de usuarios mediante código malicioso ya incorporado.
- El episodio vuelve a poner bajo escrutinio la gobernanza DAO y la fragilidad de algunos protocolos DeFi frente a tokens baratos.
Moonwell, un protocolo de préstamos multichain que opera sobre los ecosistemas Moonbeam y Moonriver, quedó en el centro de una crisis de gobernanza luego de que un atacante impulsara una propuesta capaz de tomar control de piezas críticas del sistema tras gastar apenas USD $1.808.
El episodio volvió a encender las alarmas sobre un problema conocido en el sector DeFi: cuando un token de gobernanza tiene un precio demasiado bajo, el costo de influir sobre decisiones sensibles del protocolo puede caer hasta niveles peligrosamente accesibles.
De acuerdo con la información publicada por Yahoo Finance, el atacante tardó solo 11 minutos en montar la operación. El objetivo fue introducir una propuesta que, si prospera, le permitiría adueñarse de mercados clave del protocolo y abrir la puerta a un drenaje de fondos de usuarios.
Moonwell cuenta con alrededor de USD $85.000.000 en valor total bloqueado, según DefiLlama. El protocolo provee liquidez dentro de Moonbeam, una parachain de Polkadot, y Moonriver, su red equivalente en Kusama orientada a desarrolladores.
Qué buscaba lograr la propuesta
La iniciativa maliciosa fue presentada bajo el nombre “MIP-R39: Recuperación del Protocolo – Migración de Administrador”. Aunque el título podía sonar técnico o incluso rutinario, el contenido real apuntaba a transferir el control administrativo de componentes centrales del sistema al atacante.
Si la propuesta fuera aprobada y ejecutada, el explotador obtendría control total sobre siete mercados del protocolo y sobre el contrato inteligente principal de Moonwell. Esa combinación le daría capacidad sobre áreas esenciales de la infraestructura operativa del proyecto.
La firma de inteligencia blockchain Blockful advirtió además que la propuesta no era solo un intento de captura administrativa. Según su análisis, también incluía el camino técnico para explotar el sistema y retirar liquidez.
En palabras de la firma, “esta propuesta es claramente un ataque”. Blockful sostuvo que el contrato asociado a la propuesta ya contenía las transacciones necesarias para explotar los mercados en caso de que la iniciativa fuera ejecutada.
La firma estimó que el riesgo para los usuarios superaba USD $1.000.000 en fondos potencialmente drenables. Ni Blockful ni Moonwell respondieron de inmediato a solicitudes de comentarios, según la nota original.
Cómo se ejecutó el ataque
El atacante compró 40 millones de tokens MFAM para poder presentar la propuesta y luego usar esos mismos activos para empujarla por encima del quórum. Antes de la compra, el token cotizaba en torno a USD $0,000025.
Con ese precio, el costo total de la maniobra rondó USD $1.800. Esa cifra expone la magnitud del problema: un protocolo con decenas de millones de dólares bloqueados pudo quedar bajo amenaza por una suma mínima dentro del contexto cripto.
El explotador utilizó un contrato inteligente para adquirir los tokens. Blockful indicó además que ese mismo contrato contenía código malicioso que automatizaría los pasos posteriores para extraer liquidez del protocolo.
El caso muestra una vulnerabilidad estructural en algunos modelos de gobernanza DAO. No hace falta romper la seguridad criptográfica del sistema si el marco de gobernanza permite comprar influencia suficiente a bajo costo.
Estado de la votación y medidas de emergencia
La votación sobre la propuesta termina el viernes. Hasta el jueves, la actividad de voto mostraba que el 68% de los votos emitidos estaba en contra, lo que sugiere una reacción defensiva de parte de la comunidad de tenedores de MFAM.
Sin embargo, Blockful advirtió que ese margen podría no ser suficiente. La firma señaló que el atacante podría contar con billeteras adicionales no identificadas que también posean tokens MFAM y que podrían ser usadas en el último momento.
Esa posibilidad es especialmente delicada en votaciones onchain, donde una aparición tardía de votos puede alterar el resultado cerca del cierre. Por eso, la firma recomendó una acción adicional fuera del mecanismo ordinario de votación.
En lugar de confiar solo en el rechazo comunitario, Blockful instó a los firmantes del multisig de Moonwell a usar una medida defensiva conocida como “Break Glass Guardian”. Según publicaciones en el foro, ese mecanismo permitiría retirar poderes de administrador al atacante para proteger los fondos de los usuarios.
La firma escribió que, dado que el atacante todavía podría tener billeteras ocultas listas para votar en el último bloque, el equipo central debería usar el Guardian para asegurar los fondos. En otras palabras, propuso una intervención de emergencia para neutralizar el riesgo antes de la ejecución.
Lo que revela sobre la gobernanza DAO
La gobernanza descentralizada ha sido presentada durante años como una alternativa más abierta y comunitaria para dirigir protocolos cripto. En la práctica, también ha mostrado grietas cuando la distribución de poder depende de tokens líquidos y fácilmente acumulables.
El episodio de Moonwell se suma a otros conflictos recientes en torno al verdadero control de las DAO. En 2024, un grupo de inversionistas de Compound Finance liderado por el usuario seudónimo Humpy reunió suficientes tokens de gobernanza para forzar la aprobación de una propuesta que habría movido unos USD $24.000.000 del tesoro del proyecto a una bóveda privada.
Ese caso terminó en una tregua y con el retorno de los tokens. Aun así, dejó claro que una mayoría temporal puede poner bajo presión incluso a protocolos consolidados cuando la arquitectura de incentivos no está bien alineada.
Más recientemente, una disputa interna en la comunidad de Aave volvió a cuestionar los límites entre la DAO y las entidades asociadas al desarrollo del protocolo. En diciembre, se descubrió que comisiones generadas por una integración con el exchange descentralizado CoW Swap estaban yendo directamente a Aave Labs sin aprobación de la DAO.
El caso Moonwell añade otra superficie de ataque a esa discusión. Ya no se trata solo de ballenas organizadas o de conflictos sobre el destino de ingresos, sino del uso de tokens casi sin valor para intentar secuestrar la gobernanza de un protocolo.
Riesgo sistémico para DeFi
Para los lectores menos familiarizados con el tema, una DAO es una estructura de coordinación donde ciertas decisiones se toman mediante votación de los poseedores de un token. En teoría, eso distribuye el poder entre la comunidad. En la práctica, el peso del voto suele estar ligado a la cantidad de tokens acumulados.
Si el token se negocia a precios extremadamente bajos y el sistema exige pocos requisitos para proponer o alcanzar quórum, el costo de capturar decisiones importantes puede caer de forma dramática. Ese parece haber sido el punto débil explotado en Moonwell.
El incidente también subraya que la descentralización no elimina la necesidad de mecanismos de contención. Herramientas como multisigs, guardianes de emergencia o pausas administrativas siguen cumpliendo un papel crítico cuando el proceso abierto de gobernanza puede ser manipulado.
Por ahora, la comunidad de Moonwell aún conserva margen para bloquear formalmente la propuesta. Pero el solo hecho de que una maniobra de USD $1.808 haya puesto en riesgo un protocolo con cerca de USD $85.000.000 bloqueados ya dejó una lección incómoda para el sector.
La discusión de fondo es si los protocolos DeFi deben seguir confiando decisiones críticas a tokens con poca liquidez, baja valoración o concentración opaca. El episodio sugiere que, sin ajustes de diseño, la gobernanza puede convertirse en el eslabón más débil del sistema.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bitcoin
Google acelera la cuenta regresiva cuántica y presiona a Bitcoin y Ethereum hacia 2029
Estafas
Justin Sun lanza detective de IA para rastrear fraude cripto y promete recompensa de USD $100 millones
Blockchain
Empresario ofrece recompensa para recuperar USD $42 millones en cripto robados en 2022
IA