Убытки Moonwell из-за ошибки оракула
Кредитные пулы Moonwell понесли убытки в размере около $1.78 млн после того, как оракул cbETH неверно оценил токен почти в $1 вместо примерно $2,200. Это позволило ботам и ликвидаторам вывести залог в течение нескольких часов после некорректного обновления на основе Chainlink, которое, как сообщается, использовало логику, сгенерированную AI.
Причины уязвимости
Протокол децентрализованных финансов Moonwell пострадал от эксплуатации на сумму $1.78 млн из-за ошибки в оценке оракула, который неверно оценил Coinbase-wrapped ETH (cbETH), согласно отчетам с платформы. Уязвимость возникла в логике расчета оракула, которая, как сообщается, была сгенерирована AI-моделью Claude Opus 4.6, что привело к введению неправильного коэффициента масштабирования в поток цен активов.
Нападающие заняли средства под сильно недооцененный залог, извлекая средства до того, как ошибка была обнаружена и исправлена.
Последствия ошибки
Moonwell потерял $1.78 млн из-за ошибки в смарт-контракте, которая, как сообщается, была введена в код, сгенерированный AI. Ошибка в формуле оракула привела к тому, что cbETH был оценен в $1.12 вместо $2,200, что открыло двери для эксплуатации. Неправильная оценка cbETH фактически обрушила требования к залогу для заимствования в затронутых пулах.
Поскольку кредитные системы зависят от точных коэффициентов залога, неверная цена позволила нападающим извлекать активы с минимальной поддержкой, согласно техническому анализу протокола.
Риски оракулов в DeFi
Оракулы цен представляют собой критически важные компоненты безопасности в системах кредитования DeFi. Неверная оценка активов может привести к заимствованию с недостаточным залогом или сбоям ликвидации. Многие крупные эксплуатации DeFi исторически были связаны с манипуляциями оракулами или ошибками в оценке, а не с основными недостатками протокола.
Инцидент с Moonwell отличается от традиционных атак на оракулы тем, что ошибочная логика, похоже, связана с автоматизированной генерацией кода AI, а не с вредоносными потоками данных оракула.
Вопросы безопасности и аудита
Эксплуатация подчеркивает риски, связанные с разработкой смарт-контрактов с помощью AI в финансовых приложениях. Языковые модели могут ускорить рабочие процессы кодирования, но финансовые протоколы требуют точной числовой корректности, обработки единиц и проверки крайних случаев.
В системах DeFi небольшие арифметические или масштабные ошибки могут привести к системным уязвимостям, влияющим на оценку залога и платежеспособность. Инцидент поднимает вопросы о том, требуют ли компоненты контрактов, сгенерированные AI, более строгих стандартов аудита, чем вручную написанный код.
Будущее разработки с AI
Разработка с помощью AI все чаще используется в рабочих процессах инженерии Web3, от шаблонов контрактов до логики интеграции. Модели безопасности и аудиторские рамки еще не полностью адаптировались к коду контрактов, сгенерированному AI.
Более широкие последствия касаются того, как ошибки автоматической генерации кода в финансовой логике представляют собой новую категорию рисков DeFi. Математика оракула, коэффициенты масштабирования и преобразования единиц остаются высокоточными областями, где сбои автоматизации могут привести к уязвимостям на уровне протокола.
По мере расширения разработки смарт-контрактов с помощью AI методологии аудита, вероятно, будут нуждаться в эволюции, чтобы проверять не только правильность кода, но и происхождение генерации и числовые инварианты.
