Moonwell ha perso 1.78 milioni di dollari dopo che un bug nello smart contract era collegato al codice generato dall'intelligenza artificiale
In Breve
L'exploit di Moonwell è nato da un bug critico nei prezzi degli smart contract, introdotto in parte tramite codice generato dall'intelligenza artificiale, che ha sottostimato cbETH e ha consentito agli aggressori di prosciugare i fondi, lasciando il protocollo con circa 1.78 milioni di dollari di crediti inesigibili.
Moonwell, un DeFi protocollo di prestito, ha subito un duro colpo finanziario nella stessa settimana, quando un bug critico nello smart contract ha determinato un prezzo errato del token Coinbase Wrapped Staked Ether (cbETH), consentendo ad aggressori e bot di liquidazione di svuotare il portafoglio e accumulare circa 1.78 milioni di dollari di crediti inesigibili.
L'analisi post-mortem iniziale mostra che l'errore logico è stato aggiunto al codice co-scritto dal modello di intelligenza artificiale Claude Opus 4.6, il che ha nuovamente sollevato preoccupazioni sui pericoli di passare direttamente alla produzione con codice scritto dall'intelligenza artificiale, senza un attento esame umano del suo codice.
L'errore di prezzo si è verificato a seguito di un aggiornamento della governance che ha rinnovato l'oracolo on-chain di Moonwell, il protocollo, convertendo i prezzi di mercato off-chain in informazioni utilizzabili nella sua logica di prestito. Il sistema ha calcolato in modo errato il valore in dollari di cbETH, che dovrebbe essere calcolato moltiplicando il tasso di cambio di entrambi per il tasso di cambio corrente. Prezzo ETH/USD, e quindi ha erroneamente utilizzato solo il rapporto tra i due, che ha quotato il prezzo del cbETH a circa $ 1.12 invece del prezzo effettivo di mercato, che era di circa $ 2,200. Tale discrepanza ha portato a una sottovalutazione di 2,000 volte, che è stata immediatamente sfruttata dai bot di liquidazione e dai trader opportunisti.
I trader e i bot che si occupano di smart contract hanno rimborsato una piccola somma in pochi minuti, ottenendo un collaterale completo di cbETH di migliaia di dollari. Nel complesso, Moonwell ha perso una quantità considerevole di prestiti non recuperabili sotto forma di crediti inesigibili a causa del prezzo distorto di oltre 1,096 cbETH che sono stati liquidati.
Il team di Moonwell ha reagito rapidamente dopo l'identificazione del problema e ha ridotto notevolmente i limiti di prestito e fornitura dei mercati cbETH per evitare ulteriori abusi. Tuttavia, poiché la correzione richiede un periodo di cinque giorni di votazione e blocco della governance, le liquidazioni hanno continuato ad accumularsi nel frattempo. Da allora, il protocollo ha proposto una proposta di governance volta a gestire i controlli di rischio di errata configurazione e rafforzamento dell'oracolo.
Il ruolo dell'intelligenza artificiale sotto esame
Sebbene la maggior parte delle imprese passate nel DeFi sono dovuti a feed di prezzi di oracoli hackerati o prestiti flash, gli analisti ritengono che questo sia un caso unico a causa del suo collegamento al codice generato dall'intelligenza artificiale. I commit di GitHub, co-autori di Claude Opus 4.6, un modello generativo avanzato, sono stati segnalati sui social media dall'auditor della sicurezza degli smart contract Pashov in merito alla pull request che ha aggiunto la logica errata dell'oracolo. Ciò ha suscitato polemiche negli ambienti blockchain e dell'intelligenza artificiale riguardo al ruolo dell'intelligenza artificiale nello sviluppo di infrastrutture finanziarie vitali.
Il processo con cui gli sviluppatori basano la scrittura del codice di produzione sui suggerimenti o i suggerimenti dell'IA è noto agli osservatori del settore come "vibe-coding". La gestione di un calcolo di prezzo di base, in questo caso, che non moltiplicava un tasso di cambio intermedio per il corretto ancoraggio del dollaro statunitense, si è rivelata disastrosa in una situazione di mercato monetario reale.
I critici sottolineano che, sebbene le IA siano utili per accelerare le attività di routine che richiedono molto tempo, la generazione di codice nell'automazione non è sufficientemente esperta nella complessa conoscenza delle invarianti economiche e della logica dei casi limite da utilizzare in DeFi protocolli. Una semplice conversione di unità o un errore aritmetico nella derivazione dei prezzi possono trasformarsi in un enorme rischio sistemico una volta utilizzati su larga scala, soprattutto nei sistemi di prestito collateralizzato ad alta leva finanziaria, dove la solvibilità del sistema dipende in larga misura dal prezzo corretto del mercato.
I sostenitori dell'intelligenza artificiale nello sviluppo software ammettono anche i guadagni di produttività ottenuti utilizzando sistemi come Claude o altri modelli generativi, ma sottolineano che i sistemi di verifica formale e gli auditor umani sono ancora essenziali. Questi sostenitori sostengono che l'intelligenza artificiale non può, ma dovrebbe integrare, i processi di un'attenta revisione della sicurezza, in particolare nei protocolli con miliardi di liquidità on-chain.
Implicazioni più ampie per DeFi e sviluppo dell'intelligenza artificiale
La sconfitta di Moonwell ha già scatenato un dibattito più ampio DeFi comunità in merito agli strumenti, agli standard di audit e alle protezioni di governance. Sebbene la perdita complessiva di circa 1.78 milioni di dollari possa essere considerata relativamente piccola in termini di exploit storici nei protocolli più ampi, l'incidente evidenzia come anche piccoli errori logici nei feed dei prezzi possano portare a risultati ancora più grandi, di valore multimilionario, nei mercati live.
Secondo gli esperti di sicurezza, gli oracoli rappresentano ancora un punto di vulnerabilità comune in DeFiLe piattaforme di prestito si basano su una valutazione accurata dei dati collaterali. Una volta che queste informazioni di base vengono contaminate da manipolazioni esterne o interne dei prezzi, l'intero modello di rischio del protocollo potrebbe fallire. L'incidente introduce un'ulteriore svolta attribuendo all'intelligenza artificiale una causa archetipica di errore, ovvero la scarsa convalida dell'aritmetica e dei flussi di dati.
Dopo l'attacco, i forum di governance di Moonwell sono diventati più attivi, poiché i membri della community hanno suggerito misure di mitigazione del rischio, tra cui un numero massimo di prestiti di wallet, buffer aggiuntivi per le commissioni di liquidazione e test on-chain prima dell'implementazione delle riconfigurazioni degli oracoli. Secondo fonti interne al protocollo, sono in fase di discussione piani di ripristino per un eventuale risarcimento degli utenti interessati, ma i dettagli sono ancora in fase di discussione.
Cosa significa questo per l'intelligenza artificiale nell'ingegneria dei contratti intelligenti
L'incidente di Moonwell è uno degli esempi di avvertimento per sviluppatori e progettisti di protocolli che potrebbero voler introdurre l'intelligenza artificiale in parti vitali del sistema. Le garanzie di correttezza degli smart contract sono molto più elevate di quelle del normale codice applicativo, perché è in gioco l'integrità finanziaria degli smart contract. Sebbene i modelli boilerplate e la produttività degli sviluppatori possano essere migliorati dalla generazione automatizzata di codice, la verifica formale, l'ispezione umana e test rigorosi contro situazioni di concorrenza economica sono di fondamentale importanza.
Con l'impiego di più strumenti nella categoria assistita dall'intelligenza artificiale Web3 Nei processi di ingegneria, il settore sta richiedendo nuovi framework di audit, che affrontino esplicitamente la provenienza dell'IA, la logica decisionale e la correttezza numerica. Ciò include software di test automatizzati, esecuzione simbolica e metodi di fuzzing che possono esaminare la logica di un contratto a un livello molto basso prima che entri in produzione.
Le prestazioni di governance e le reazioni della comunità di Moonwell nelle prossime settimane determineranno probabilmente la qualità con cui il più ampio DeFi l'industria si occuperà di evitare i rischi del codice generato dall'intelligenza artificiale e potenzialmente svilupperà linee guida più rigorose sull'integrazione di modelli generativi in programmi finanziari critici per la produzione.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Alisa, una giornalista dedicata al MPost, è specializzato in criptovalute, IA, investimenti e nell'ampio regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
Altri articoli
Alisa, una giornalista dedicata al MPost, è specializzato in criptovalute, IA, investimenti e nell'ampio regno di Web3. Con un occhio attento alle tendenze e alle tecnologie emergenti, offre una copertura completa per informare e coinvolgere i lettori nel panorama in continua evoluzione della finanza digitale.
