Лендинговий протокол Moonwell втратив $1,78 млн через неправильно налаштований оракул ціни cbETH, що спричинив хвилю ліквідацій на ринках Base та Optimism. Збій стався 15 лютого після активації рішення ДАО MIP-X43, яке відкрило використання Chainlink OEV.
Вайб-кодинг через Claude Opus призвів до злому DeFi-проєкту Moonwell
Помилка в оракулі коштувала Moonwell $1,78 млн
Лендинговий DeFi-протокол Moonwell зазнав збитків на $1,78 млн через некоректні налаштування цінового оракула. Інцидент стався 15 лютого, невдовзі після активації рішення ДАО Moonwell — MIP-X43. Воно відкрило можливість укладати контракти з використанням Chainlink OEV на ринках Base та Optimism.
Що саме зламалося
Проблема виникла в одному з оракулів, який мав рахувати доларову ціну Coinbase Wrapped ETH (cbETH). Замість правильного розрахунку — помножити курс cbETH/ETH на ETH/USD — система передавала лише співвідношення cbETH до ETH.
Через це протокол «бачив» cbETH приблизно по $1,12, хоча ринкова ціна була близько $2200. Така помилка в ціні для кредитного сервісу критична: від неї залежить, чи вважає протокол позицію забезпеченою.
Як це вдарило по користувачах і протоколу
Занижена ціна запустила хвилю ліквідацій. Торгові боти почали масово атакувати позиції, де заставою був cbETH: вони погашали близько $1 боргу й отримували натомість 1096,317 cbETH. У результаті багато позичальників втратили значну частину або всю заставу в cbETH, але борг у їхніх позиціях залишився.
Паралельно деякі користувачі встигали вносити мінімальне забезпечення, щоб позичати cbETH за «акційною» ціною, яку показував оракул.
Команда Moonwell заявила, що після виявлення проблеми ризик-менеджер @anthiasxyz оперативно знизив ліміт запозичення cbETH до 0,01, щоб зупинити подальше нарощення ризиків.
Чи винен «вайб-кодинг» і Claude Opus 4.6
Аудитор смартконтрактів Pashov звернув увагу, що коміти Moonwell мають співаторство з Claude Opus 4.6, і припустив зв’язок інциденту з так званим вайб-кодингом — коли розробник значною мірою покладається на генерацію коду ШІ.
Водночас він підкреслив: за будь-яким ШІ стоїть людина, яка має перевіряти результат (а інколи й окремий аудитор), тому зводити провину лише до нейромережі некоректно. Проте кейс знову підсвітив ризики популярного підходу: у лютому дослідження виявило 69 вразливостей у 15 застосунках, створених за допомогою Cursor, Claude Code, Codex, Replit і Devin.
Довіра до автоматично згенерованого коду без професійного аудиту створює критичні діри, якими миттєво користуються боти-експлуататори в мемпулі. Про те, як працюють алгоритми, що цілодобово шукають помилки в чужих транзакціях для власного збагачення, читайте у статті: «MEV-боти: як захистити свої транзакції від фронтраннінгу».