Le protocole de prêt décentralisé Moonwell a subi une exploitation de 1,78 million de dollars après une erreur de tarification dans son marché cbETH qui a mal rapporté la valeur de l'actif à 1,12 $ au lieu d'environ 2 200 $, selon les analystes onchain et la déclaration publique de l'équipe.
Le problème a été isolé au marché cbETH Core sur Base, le protocole l'a confirmé.
« Aucun autre marché sur Base ou OP Mainnet n'a été affecté. Le problème est isolé au marché cbETH Core sur Base. »
Exploitation Permise par une Mauvaise Évaluation de l'Oracle
La vulnérabilité provenait d'une formule d'oracle incorrecte qui a considérablement sous-évalué le cbETH, créant une opportunité pour les attaquants de manipuler les conditions de garantie dans le marché affecté.
Une fois le problème identifié, le responsable des risques de Moonwell, @anthiasxyz, a agi pour atténuer d'autres dommages en réduisant fortement les caps d'emprunt et d'approvisionnement pour cbETH à 0,01.
« Le cap d'approvisionnement a également été réduit à 0,01 pour empêcher les nouveaux utilisateurs de fournir involontairement au marché affecté. »
Tous les autres marchés sur Base et OP Mainnet sont restés opérationnels avec des paramètres normaux, selon l'équipe.
Un post-mortem complet devrait être publié sur le forum de gouvernance de Moonwell.
Code généré par IA sous surveillance
Suite à l'exploit, plusieurs analystes on-chain ont pointé vers des commits de dépôt suggérant que certaines parties du code vulnérable avaient été coécrites par Claude Opus 4.6, un modèle d'IA développé par Anthropic.
Les analystes affirment que l'implémentation défectueuse de l'oracle pourrait provenir de la génération de code Solidity assistée par IA, soulevant des questions sur les risques des contrats intelligents « codés sur l'ambiance » dans les environnements de production.
Si confirmé, l'incident pourrait représenter l'un des premiers exploits très médiatisés liés au code de contrat intelligent généré par IA.
À propos de Moonwell
Moonwell est un protocole de prêt et d'emprunt DeFi non-custodial opérant sur Base, Optimism, Moonbeam et Moonriver. Les utilisateurs peuvent fournir des actifs numériques pour gagner des rendements ou les utiliser comme garantie pour emprunter d'autres actifs, avec des taux d'intérêt gérés de manière algorithmique via des contrats intelligents.
L'incident s'ajoute à un débat croissant au sein de l'industrie crypto autour de l'utilisation des outils de développement assistés par IA dans les infrastructures blockchain critiques pour la sécurité.