DeFi протокол Moonwell ломают уже третий раз, причем два раза за последний год и оба раза по вине оракулов. Но в этот раз оказалось что при вводе нового оракула программный код писал не человек, а искусственный интеллект (или помогал писать), и допустил ошибку, в результате которой цена эфира оказалась в сто раз меньше текущей, чем и воспользовались "знающие люди". Вот и доверяй ИИ....
Подробнее расписал Grok:
ОтветитьУдалить-------------------------------------------------------------------
15 февраля 2026 года DeFi-протокол кредитования Moonwell (работающий на сетях Base и Optimism) пострадал от серьёзной уязвимости, которая привела к образованию bad debt (необеспеченного долга) примерно на $1,78 млн. Это не был классический «взлом» с кражей средств хакером в прямом смысле, а скорее эксплойт уязвимости, вызванный ошибкой конфигурации оракула цены.
Что именно произошло
В 18:01 UTC 15 февраля была исполнена governance-предложение MIP-X43 от Moonwell DAO. Оно активировало использование Chainlink OEV wrapper-контрактов (Oracle Extractable Value) для рынков на Base и Optimism.
В процессе интеграции один из оракулов cbETH был неправильно сконфигурирован:
Вместо правильного расчёта цены cbETH в USD (cbETH/ETH × ETH/USD) система использовала только сырое соотношение cbETH/ETH ≈ 1.12.
В результате оракул начал сообщать цену cbETH ≈ $1.12 вместо реальной рыночной ≈ $2200.
Это привело к двум основным эффектам:
Массовые ликвидации — ликвидационные боты мгновенно увидели огромное количество недостаточно обеспеченных позиций и ликвидировали их, забирая cbETH-коллатерал за копейки (по сути, за $1 долга забирали cbETH стоимостью тысячи долларов). В итоге было ликвидировано **1096 cbETH**.
Некоторые пользователи дополнительно эксплуатировали аномалию: вносили минимальный коллатерал → занимали огромные объёмы cbETH по искусственно низкой цене → создавали ещё больше bad debt.
В сумме протокол остался с $1 779 044 в bad debt (в основном в cbETH, WETH и USDC).
Почему это называют «взломом через Claude»
Аудитор смарт-контрактов Pashov (и ряд СМИ) связали ошибку с использованием Claude Opus 4.6 (модель Anthropic) в процессе написания кода — так называемый vibe coding (быстрое написание кода «по ощущениям» с помощью ИИ без глубокого ревью).
В pull request'ах Moonwell видны коммиты, соавтором которых указан Claude. Именно этот сгенерированный/подправленный ИИ код, по мнению критиков, содержал ошибочную логику умножения/обработки ценовых фидов, что и привело к багу после деплоя.
Реакция протокола
Сразу после обнаружения cbETH supply cap и borrow cap снизили до 0.01, чтобы остановить дальнейшие манипуляции.
Команда выпустила пост-мортем на форуме.
Проводится план восстановления (recovery plan), включая возможное покрытие bad debt из резерва/токенов WELL/DAO.
Это один из первых громких случаев, когда уязвимость в DeFi напрямую связывают с ИИ-генерированным кодом без достаточного человеческого контроля.