Incidenti nei Pool di Prestito di Moonwell
I pool di prestito di Moonwell hanno accumulato circa $1,78 milioni di debito cattivo dopo che un oracolo ha svalutato il token cbETH a quasi $1 invece di circa $2.200. Questo errore ha consentito a bot e liquidatori di drenare il collaterale entro poche ore da un aggiornamento errato basato su Chainlink, che, secondo quanto riportato, utilizzava logica generata da intelligenza artificiale.
Dettagli dell’Exploit
Il protocollo di prestito di finanza decentralizzata Moonwell ha subito un exploit di $1,78 milioni a causa di un bug dell’oracolo di prezzo che ha svalutato l’ETH avvolto da Coinbase (cbETH), come riportato dalla piattaforma. La vulnerabilità è originata nella logica di calcolo dell’oracolo, generata dal modello AI Claude Opus 4.6, che ha introdotto un fattore di scala errato nel feed del prezzo dell’asset.
Gli attaccanti hanno preso in prestito contro collaterali gravemente sottovalutati, estraendo fondi prima che l’errore fosse rilevato e corretto. Moonwell ha perso $1,78 milioni a causa di un bug nel contratto intelligente, introdotto, secondo quanto riportato, nel codice generato da AI. Un difetto nella formula dell’oracolo ha causato la valutazione di cbETH a $1,12 invece di $2.200, aprendo la porta all’exploit.
Implicazioni della Valutazione Errata
L’errata valutazione di cbETH ha effettivamente fatto collassare il requisito di collaterale per il prestito all’interno dei pool interessati. Poiché i sistemi di prestito si basano su rapporti di collaterale accurati, il prezzo errato ha consentito agli attaccanti di estrarre asset con un valore di supporto minimo, secondo l’analisi tecnica del protocollo.
“Gli oracoli di prezzo rappresentano componenti critici di sicurezza nei sistemi di prestito DeFi. Una valutazione errata degli asset può consentire prestiti sottocollateralizzati o fallimenti di liquidazione.”
Rischi Associati allo Sviluppo di AI
Molti exploit DeFi di rilievo hanno storicamente coinvolto manipolazione degli oracoli o errori di prezzo piuttosto che difetti fondamentali del protocollo, secondo i rapporti di sicurezza del settore. L’incidente di Moonwell si differenzia dagli exploit tradizionali degli oracoli in quanto la logica difettosa sembra essere collegata alla generazione automatizzata di codice AI piuttosto che a feed di dati oracolari malevoli, secondo l’indagine preliminare del protocollo.
L’exploit evidenzia i rischi associati allo sviluppo di contratti intelligenti assistito da AI nelle applicazioni finanziarie. I modelli linguistici possono accelerare i flussi di lavoro di codifica, ma i protocolli finanziari richiedono una precisione numerica rigorosa, gestione delle unità e validazione dei casi limite, secondo gli esperti di sicurezza blockchain.
Conclusioni e Raccomandazioni
Nei sistemi DeFi, piccoli errori aritmetici o di scala possono tradursi in vulnerabilità sistemiche che influenzano la valutazione del collaterale e la solvibilità. L’incidente solleva interrogativi su se i componenti contrattuali generati da AI possano richiedere standard di auditing più rigorosi rispetto al codice scritto manualmente, secondo i ricercatori di sicurezza.
Lo sviluppo assistito da AI è sempre più utilizzato nei flussi di lavoro di ingegneria Web3, dai modelli di contratto alla logica di integrazione. I modelli di sicurezza e i framework di audit non si sono ancora completamente adattati al codice contrattuale generato da AI, secondo gli osservatori del settore.
Le implicazioni più ampie riguardano come gli errori di generazione automatizzata del codice nella logica finanziaria rappresentino una nuova categoria di rischio DeFi. La matematica degli oracoli, i fattori di scala e le conversioni di unità rimangono domini ad alta precisione in cui i fallimenti di automazione possono propagarsi in vulnerabilità a livello di protocollo, secondo l’analisi tecnica dell’incidente.
Man mano che lo sviluppo di contratti intelligenti assistito da AI si espande, le metodologie di audit dovranno probabilmente evolversi per verificare non solo la correttezza del codice, ma anche la provenienza della generazione e gli invarianti numerici, secondo le aziende di sicurezza blockchain.
