incrypted.com
- Moonwell потерял $1,78 млн из-за неверной формулы в конфигурации ценового оракула.
- Ошибка занизила цену cbETH до $1,12 вместо $2200 и спровоцировала волну ликвидаций.
- Аудитор под ником Pashov связал инцидент с вайб-кодингом и использованием Claude Opus 4.6 при написании коммитов.
Протокол кредитования Moonwell столкнулся с атакой, в результате которой проект лишился $1,78 млн. Инцидент произошел 15 февраля 2026 года после активации предложения MIP-X43, разрешившего использование контрактов Chainlink OEV на рынках Base и Optimism.
По мнению экспертов, ключевой проблемой стала некорректная настройка оракула, отвечающего за оценку стоимости Coinbase Wrapped $ETH (cbETH). Из-за ошибки протокол начал получать неверные ценовые данные, что открыло путь для эксплуатации.
🚨Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
— pashov (@pashov) February 17, 2026
cbETH asset's price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude – Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67
Вместо корректного расчета через cbETH/$ETH и $ETH/USD система фактически использовала лишь соотношение токенов, не «домножив» его на долларовую цену Ethereum. В итоге оракул показывал стоимость cbETH около $1,12, хотя рыночная цена актива была на уровне $2200.
Заниженная котировка мгновенно запустила каскад ликвидаций, поскольку боты начали закрывать позиции, обеспеченные cbETH.
Они погашали незначительный долг и получали непропорционально большой объем залога. В отдельных случаях речь шла о том, что за примерно $1 долга атакующие забирали более тысячи cbETH, что «выжигало» обеспечение заемщиков и оставляло их позиции с остаточной задолженностью.
Команда Moonwell заявила, что после обнаружения проблемы риск-менеджер оперативно снизил лимит заимствования cbETH до 0,01. Это позволило ограничить дальнейшие потери и остановить распространение атаки.
При чем тут вайб-кодинг?
Аудитор смарт-контрактов под ником Pashov обратил внимание, что изменения, связанные с инцидентом, создавались в соавторстве с Claude Opus 4.6. На этом фоне он связал случившееся с вайб-кодингом — практикой, когда разработчик активно полагается на генеративную модель при написании кода.
Суть претензии эксперта не в том, что ИИ «позволил» взломать протокол, а в том, что сгенерированный при помощи Claude код с ошибочной логикой попал в продакшн и стал причиной уязвимости. При этом аналитик подчеркнул, что за любой код все равно отвечает человек.
По его словам, итоговую реализацию должны проверять разработчики и аудиторы, поэтому перекладывать вину исключительно на модель некорректно.
DeFi 借贷协议 Moonwell 上的预言机配置错误,造成了约 178 万美元损失…非常低级地把预言机喂价公式写错了…
— Cos(余弦)😶🌫️ (@evilcos) February 18, 2026
这个漏洞的一个亮点是:Co-Authored-By: Claude Opus 4.6。Claude 最新最强模型。🤣🫣 https://t.co/RrVuPU2lcI
Со своей стороны, основатель SlowMist Cos также отметил, что проблема носила прикладной характер. Как подчеркнул эксперт, ошибка в вычислении цены в оракуле дала атакующим возможность эксплуатировать протокол через искаженные котировки.
Напомним, мы писали, что в 2025 году из криптопроектов украли более $4 млрд.