Moonwell потерял $1,78 млн после сбоя оракула, который неправильно оценил cbETH. Код, написанный с участием ИИ Claude Opus 4.6, способствовал возникновению бага, в сотни раз уменьшив стоимость актива. Moonwell ограничил заимствования, но ликвидации все равно начались.
DeFi-протокол кредитования Moonwell понес значительные потери после ошибки в конфигурации оракула, которая неправильно оценила cbETH. Инцидент, который связывают с ошибкой низкого уровня в формуле ценового фида, привел к тому, что стоимость cbETH отображалась на уровне $1,12 вместо примерно $2 200. Аудитор блокчейна pashov написал в X, что проблемный код был написан совместно с Claude Opus 4.6 — ИИ для написания кода. Риск-менеджер Moonwell, anthiasxyz, быстро принял меры по сокращению заимствований и предложения, снизив лимиты, но ликвидации уже продолжались.
«Claude Opus 4.6 написал уязвимый код, что привело к эксплойту смартконтракта с потерей $1,78 млн. Цена актива cbETH была установлена на уровне $1,12 вместо примерно $2 200. PR проекта показывают, что комиты были созданы в соавторстве с Claude — это первый взлом «vibe-кодинга» на Solidity?» — говорит Пашов.
Проблема появилась 15 февраля 2026 года, вскоре после того, как MIP-X43 активировал контракты-обертки Chainlink OEV на Base и Optimism. Вместо правильного расчета цены через связь cbETH/ETH и ETH/USD система фактически принимала во внимание только соотношение между токенами, не переводя его в долларовый эквивалент Ethereum. В результате оракул отображал цену cbETH на уровне около $1,12, тогда как реальная рыночная стоимость актива составляла примерно $2 200. Из-за такой ошибки механизм ликвидаций сработалпочти мгновенно. Торговые боты начали массово закрывать позиции, обеспеченные cbETH, поскольку протокол посчитал их недостаточно покрытыми.
Фактически ликвидаторы погашали минимальные суммы долга и получали взамен непропорционально большие объемы залога. В некоторых случаях за около $1 погашенного обязательства можно было забрать более тысячи cbETH. Это практически обнуляло залог заемщиков и одновременно оставляло их с остаточным долгом в системе. По оценке Moonwell, общие потери составляют $1,78 млн, главным образом через cbETH, WETH и USDC. Это вызвало беспокойство по поводу использования ИИ в кодировании для DeFi. Основатель SlowMist Cos назвал это «очень низкоуровневым» багом, подчеркнув важность безупречной настройки оракулов. Это может быть первым крупным взломом, связанным с «vibe-кодингом» на Solidity, написанным с использованием ИИ, который становится все более распространенным в пространстве DeFi.
«Мы расследуем проблему с Core-рынком cbETH в сети Base. В качестве меры предосторожности наш риск-менеджер anthiasxyz временно снизил лимит заимствований для этого рынка до 0,01. Мы будем делиться обновлениями по мере поступления новой информации», — почти сразу отреагировала Moonwell у Х.
Форум сообщества Moonwell после инцидента активно обсуждает события. Пользователь UserNate объяснил, что потерял 2,6 cbETH и некоторые позиции с кредитным плечом, но подчеркнул, что проблема заключалась в баге протокола, а не в рыночных колебаниях. Stevex предложил установить лимит заимствований на один кошелек, чтобы предотвратить опустошению пула в случае будущих ошибок. Люк предложил определить комиссии за ликвидацию, чтобы помочь с планированием компенсаций пользователям. Чуть позже Moonwell опубликовала обновление:
«Никакие другие рынки в сетях Base или OP Mainnet не пострадали. Проблема изолирована только до Core-рынка cbETH в сети Base. После обнаружения наш риск-менеджер оперативно снизил лимит заимствований cbETH до 0,01, чтобы ограничить дальнейший риск для протокола. Лимит поставки также был уменьшен до 0,01, чтобы предотвратить то, чтобы новые пользователи неосознанно предоставляли ликвидность на пораженный рынок. Лимиты поставок и заимствований для всех других рынков остаются на обычном уровне», — сообщила Moonwell.
Moonwell заявила, что другие рынки на Base или Optimism не пострадали. Команда сообщила, что после обязательного пятидневного timelock ожидается предложение по управлению для исправления ошибок оракула. Между тем ликвидации продолжаются, и пользователям необходимо тщательно отслеживать свои чистые убытки. В ноябре в Moonwell также произошел инцидент с неправильным отображением цены, но команда тогда уточнила, что инцидент на $1 млн не был взломом, а ошибкой отчетности цены, что подчеркивает постоянную важность надежных проверок оракулов.
Сбой в Moonwell демонстрирует, насколько хрупкими могут быть платформы DeFi, когда их ценовые фиды работают неправильно. Даже небольшие ошибки могут стоить миллионы. Использование ИИ для написания кода добавляет удобства, но люди все равно должны все тщательно проверять. Платформы должны иметь более сильные механизмы безопасности и четкие правила для защиты средств пользователей.
Взлом платформы Stream Finance привел к убыткам в $285 млн: эксперты говорят о «дырах» в DeFi-протоколах
Хочеш знати більше, ніж ChatGPT 5? Підписуйся на ITC.ua у TelegramПІДПИСАТИСЯ
Источник: CryptoTimes.io
