Рига: +3.1°С
Критическая ошибка ценообразования: $1,8 млн выведены из Moonwell
Децентрализованный лендинговый протокол Moonwell понес значительные убытки, исчисляемые суммой в $1,78 миллиона, после инцидента, связанного с критической ошибкой в оракуле ценообразования для актива cbETH (Coinbase Wrapped Staked ETH). Инцидент, произошедший в середине февраля 2026 года, обнажил новые риски, сопряженные с интеграцией инструментов искусственного интеллекта в критически важные компоненты смарт-контрактов.
В результате сбоя цена токена cbETH на платформе Moonwell была ошибочно оценена в районе 1,12 доллара, тогда как его реальная рыночная стоимость составляла около 2200 долларов. Это колоссальное расхождение, более чем в сотни раз, мгновенно спровоцировало эксплуатацию уязвимости автоматизированными ботами и ликвидаторами, что привело к образованию крупного «плохого долга» (bad debt) в протоколе.
Техническая подоплека: как сработал механизм ликвидации
Проблема возникла после активации предложения управления DAO протокола, известного как MIP-X43, которое интегрировало контракты-обертки Oracle Extractable Value (OEV) от Chainlink на сетях Base и Optimism. Согласно техническому разбору инцидента, в коде, который должен был рассчитать долларовую стоимость cbETH, была допущена ошибка в логике масштабирования. Вместо того чтобы взять соотношение курсов cbETH/ETH и умножить его на текущую цену ETH в долларах (ETH/USD), задействованная логика ошибочно использовала только соотношение cbETH/ETH, принимая это отношение за окончательную цену в долларах. Это привело к катастрофической недооценке актива.
Поскольку протоколы кредитования, такие как Moonwell, автоматически ликвидируют позиции, чье обеспечение падает ниже установленного порога, боты-ликвидаторы начали действовать незамедлительно. Они смогли погасить незначительную часть долга (около 1 доллара) и забрать в качестве залога эквивалент в cbETH, который по ошибочной цене стоил копейки, а по реальной рыночной цене — тысячи. В результате было ликвидировано 1096,317 единиц cbETH, что и сформировало основной объем потерь.
Ликвидаторы использовали искаженную цену для заимствования под недооцененный залог, изымая активы с минимальным обеспечением, что и привело к образованию протокольного плохого долга на сумму, близкую к $1,8 миллиона.
Роль искусственного интеллекта в уязвимости
Особенную резонансную волну инцидент вызвал из-за того, что в анализе GitHub-коммитов, связанных с внесением уязвимой конфигурации, были обнаружены записи, где в качестве соавтора фигурировала модель ИИ Claude Opus 4.6 от Anthropic. Некоторые эксперты по безопасности, в частности, аудитор Krum Pashov, связали ошибку с так называемым «vibe coding» (кодированием по наитию или интуиции с помощью ИИ), предполагая, что некритичный на первый взгляд код, сгенерированный ИИ, оказался неадекватно проверен на численные ошибки и обработку единиц измерения.
Однако другие специалисты призывают не делать поспешных выводов о вине исключительно нейросети. Они отмечают, что ошибка масштабирования — это тип промаха, который потенциально мог быть допущен и опытным разработчиком при недостаточной валидации или тестировании. Инцидент тем не менее обострил дискуссию о необходимости усиленного аудита и ручного контроля над любым кодом, даже если его большая часть была сгенерирована автоматизированными инструментами, особенно в сфере финансов.
Оперативное реагирование и последствия
Команда Moonwell среагировала оперативно, снизив лимиты на заимствование и внесение cbETH до минимального значения 0,01, чтобы остановить дальнейшее хищение средств. Однако, поскольку исправление ошибки оракула требовало прохождения процедуры голосования через DAO и применения периода блокировки (timelock), который составлял несколько дней, немедленно остановить начавшиеся ликвидации не удалось.
В результате убытки затронули позиции держателей cbETH, а также, по некоторым данным, затронули USDC и WETH. Протокол, развернутый изначально на Moonbeam, а затем расширившийся на Base и Optimism, столкнулся с репутационными рисками. Стоит отметить, что это уже не первый сбой оракула в истории Moonwell за последние полгода, что поднимает серьезные вопросы о надежности инфраструктуры ценообразования в DeFi-проекте.
Уроки для индустрии DeFi
Хотя $1,8 миллиона не являются самой крупной потерей в истории децентрализованных финансов, этот случай стал знаковым, поскольку он напрямую связывает уязвимость с использованием генеративного ИИ в разработке. Ошибки в оракулах остаются одним из наиболее прямых путей для злоумышленников, поскольку они нарушают базовые принципы работы кредитных систем: оценку залога. Протоколы, использующие внешние источники данных для определения цен, как в случае с Moonwell и Chainlink, должны обеспечивать многоуровневую проверку не только надежности источника, но и корректности математической обработки полученных данных. В контексте ускорения разработки с помощью ИИ, прозрачность процесса аудита и обязательное сквозное тестирование конфигурационных изменений становятся не просто рекомендацией, а насущной необходимостью для сохранения доверия пользователей.
Следите за новостями на других платформах: