DeFi-протокол Moonwell потерял около $1.78 million после того, как уязвимость в смарт-контракте позволила злоумышленнику манипулировать данными оракула и вывести средства.

Детали инцидента

По словам аудитора pashov, уязвимый фрагмент кода был сгенерирован моделью Claude Opus 4.6 и позже внесён в репозиторий проекта.

Ошибка в формуле оракула привела к тому, что цена cbETH была указана как $1.12 вместо приблизительной рыночной стоимости около ~$2,200, создав существенный разрыв в оценке.

Это несоответствие позволило злоумышленнику манипулировать логикой протокола, выполнять операции по неверно указанной цене и вывести примерно $1.78 million из пулов ликвидности.

В коммитах репозитория проекта Claude указан как соавтор некоторых изменений, и этот эпизод отмечают в освещении как раннее нарушение, связанное с сгенерированным кодом Solidity.

Техническая заметка

cbETH — это обёрнутый токен стейкинга, представляющий Ether, поставленный в стейкинг на Coinbase, и используется в DeFi-протоколах как деривативный актив стейкинга, который опирается на внешние ценовые фиды.

Этот случай подчёркивает риски интеграции машинно-сгенерированного кода без многоуровневых проверок, поскольку тонкие логические ошибки в формулах ценообразования могут иметь немедленные финансовые последствия.

Командам не следует сливать в продакшен непроверенный машинно-сгенерированный код; аудиты, автоматизированное тестирование и строгий процесс ревью кода снижают подобные операционные риски.

Инцидент находится в расследовании, и аудитор pashov предоставил первоначальный публичный технический отчёт, идентифицировавший уязвимый код и вектор атаки.