Zdecentralizowany protokół pożyczkowy Moonwell doznał eksploatacji na kwotę 1,78 miliona dolarów po błędzie w wycenie na rynku cbETH, który błędnie podał wartość aktywa na poziomie 1,12 USD zamiast około 2 200 USD, według analityków onchain i publicznego oświadczenia zespołu.
Problem był izolowany do rynku cbETH Core na Base, protokół to potwierdził.
„Żadne inne rynki na Base ani OP Mainnet nie zostały dotknięte. Problem jest izolowany do rynku cbETH Core na Base.”
Eksploatacja spowodowana błędnym wycenieniem przez Oracle
Vulnerability wynikała z błędnej formuły oracle, która drastycznie zaniżała wartość cbETH, tworząc możliwość dla atakujących do manipulowania warunkami zabezpieczeń w dotkniętym rynku.
Gdy problem został zidentyfikowany, menedżer ryzyka Moonwell, @anthiasxyz, przeszedł do złagodzenia dalszych szkód, ostro zmniejszając zarówno limity pożyczek, jak i podaży dla cbETH do 0.01.
„Limit podaży również został zmniejszony do 0.01, aby zapobiec nowym użytkownikom nieświadomemu dostarczaniu do dotkniętego rynku.”
Wszystkie inne rynki na Base i OP Mainnet pozostały operacyjne z normalnymi parametrami, zgodnie z zespołem.
Pełna analiza post mortem ma zostać opublikowana na forum zarządzania Moonwell.
Kod generowany przez AI pod lupą
Po eksploatacji kilku analityków on-chain wskazało na zmiany w repozytorium sugerujące, że części wrażliwego kodu były współautorstwem Claude Opus 4.6, modelu AI opracowanego przez Anthropic.
Analitycy twierdzą, że wadliwa implementacja orakla mogła pochodzić z generacji kodu Solidity wspomaganej przez AI, stawiając pytania o ryzyko „kodowanych wibracyjnie” smart contractów w środowiskach produkcyjnych.
Jeśli zostanie potwierdzone, incydent może reprezentować jeden z pierwszych głośnych exploitów związanych z kodem smart contractów generowanym przez AI.
O Moonwell
Moonwell to protokół pożyczkowy i kredytowy DeFi bez zasobów zabezpieczających, działający na Base, Optimism, Moonbeam i Moonriver. Użytkownicy mogą dostarczać cyfrowe aktywa, aby zarabiać na oprocentowaniu lub używać ich jako zabezpieczenie do pożyczania innych aktywów, przy czym stopy procentowe są zarządzane algorytmicznie za pośrednictwem smart contractów.
Incydent przyczynia się do rosnącej debaty w branży kryptowalut na temat wykorzystania narzędzi rozwoju wspomaganych przez AI w krytycznej infrastrukturze blockchain.