Nalugi ang Moonwell ng $1.78M Matapos ang Bug sa Smart Contract na Nauugnay sa AI-Generated Code
Sa madaling sabi
Ang pagsasamantala ni Moonwell ay nag-ugat sa isang kritikal na bug sa pagpepresyo ng smart-contract—na bahagyang ipinakilala sa pamamagitan ng code na binuo ng AI—na nagbigay-daan sa mga umaatake na maubos ang pondo, na nag-iwan sa protocol na may humigit-kumulang $1.78 milyon na masamang utang.
Moonwell, isang DeFi Ang lending protocol, ay dumanas ng malaking dagok sa pananalapi sa parehong linggo nang ang isang kritikal na bug sa smart contract ay nagkamali sa pagpresyo ng Coinbase Wrapped Staked Ether token (cbETH), na nagtulot sa mga umaatake at liquidation bot na alisan ng laman ang wallet at magkamal ng humigit-kumulang $1.78 milyon na masamang utang.
Ang unang pagsusuri pagkatapos ng kamatayan ay nagpapakita na ang error sa lohika ay naidagdag sa code na isinulat ng AI model na Claude Opus 4.6, na muling nagdulot ng mga alalahanin tungkol sa mga panganib ng direktang pagpunta sa produksyon gamit ang code na isinulat ng AI, nang walang masusing pagsusuri ng tao sa code nito.
Ang pagkakamali sa pagpepresyo ay naganap kasunod ng isang update sa pamamahala na nagpabago sa on-chain oracle ng Moonwell, ang protocol, na nagko-convert sa off-chain market pricing sa impormasyong magagamit sa lohika ng pagpapautang nito. Maling kinalkula ng sistema ang halaga ng dolyar ng cbETH, na dapat sana ay kalkulahin sa pamamagitan ng pagpaparami ng exchange rate ng pareho sa kasalukuyang halaga. Presyo ng ETH/USD, at samakatuwid ay maling ginamit lamang ang ratio sa pagitan ng dalawa, na nagbanggit ng presyo ng cbETH sa humigit-kumulang $1.12 sa halip na ang aktwal na presyo sa merkado, na humigit-kumulang $2,200. Ang pagkakaroon ng ganitong pagkakaiba ay humantong sa 2,000× na undervaluation na agad na ginamit ng mga liquidation bot at mga oportunistang mangangalakal.
Ang mga smart contract trader at bot ay nakapagbayad nang kaunti sa loob lamang ng ilang minuto upang makakuha ng buong cbETH collateral na libu-libong dolyar. Sa pangkalahatan, nawalan ang Moonwell ng malaking halaga ng mga hindi na mababawi na pautang sa anyo ng masamang utang dahil sa baluktot na presyo ng mahigit 1,096 cbETH na na-liquidate na.
Mabilis na tumugon ang pangkat ng Moonwell matapos matukoy ang problema at nabawasan nang husto ang bilang ng mga limitasyon sa paghiram at pagsuplay sa mga pamilihan ng cbETH upang maiwasan ang karagdagang pagsasamantala. Gayunpaman, dahil ang pag-aayos ay tumatagal ng limang araw na panahon ng pagboto at timelock sa pamamahala, patuloy na dumami ang mga likidasyon sa pansamantala. Simula noon, nagpanukala ang protocol ng isang panukala sa pamamahala na nilayon upang harapin ang maling pag-configure ng oracle at pagpapatigas ng mga pagsusuri sa panganib.
Ang Papel ng AI ay Sinusuri
Bagama't karamihan sa mga nakaraang tagumpay sa DeFi sektor ay dahil sa mga na-hack na oracle price feed o mga flash loan, naniniwala ang mga analyst na ito ay kakaiba dahil sa kaugnayan nito sa AI-generated code. Ang mga GitHub commit na isinulat ni Claude Opus 4.6, isang advanced generative model, ay itinuro ng smart contract security auditor na si Pashov sa social media tungkol sa pull request na nagdagdag ng maling oracle logic. Nagdulot ito ng kontrobersiya sa blockchain at AI circles tungkol sa papel ng AI sa pagpapaunlad ng mahahalagang imprastraktura sa pananalapi.
Ang proseso ng pagbatay ng mga developer sa pagsulat ng production-level code sa mga mungkahi o pahiwatig ng AI ay kilala ng mga tagamasid sa industriya bilang vibe-coding. Ang pamamahala ng isang pangunahing kalkulasyon ng presyo, sa pagkakataong ito, ng hindi pagpaparami ng isang intermediate exchange rate sa wastong USD peg, ay isang kapaha-pahamak sa isang live na sitwasyon sa money market.
Binibigyang-diin ng mga kritiko na bagama't kapaki-pakinabang ang mga AI sa pagpapabilis ng mga nakauubos-oras na gawain, ang pagbuo ng code sa automation ay hindi sapat ang kaalaman sa kumplikadong kaalaman tungkol sa mga economic invariant at edge-case logic na gagamitin sa... DeFi mga protokol. Ang isang simpleng unit conversion o arithmetic error sa derivation ng mga presyo ay maaaring maging isang malaking systemic risk kapag ginamit nang malawakan, lalo na sa mga highly leveraged collateralized lending system kung saan ang solvency ng sistema ay lubos na nakasalalay sa tamang presyo ng merkado.
Inaamin din ng mga tagapagtaguyod ng AI sa pagbuo ng software ang mga natamo sa produktibidad kapag gumagamit ng mga sistemang tulad ni Claude o iba pang generative model, ngunit tandaan na ang mga pormal na sistema ng beripikasyon at mga human auditor ay mahalaga pa rin. Inaangkin ng mga taong ito na ang AI ay hindi maaaring, ngunit dapat ay umakma, sa mga proseso ng maingat na pagsusuri ng seguridad, lalo na sa mga protocol na may bilyun-bilyong on-chain liquidity.
Mas Malawak na Implikasyon para sa DeFi at Pagpapaunlad ng AI
Ang pagkatalo ng Moonwell ay nagdulot na ng debate sa mas malawak na DeFi komunidad tungkol sa mga kagamitan, pamantayan sa pag-audit, at mga proteksyon sa pamamahala. Bagama't ang kabuuang pagkalugi na humigit-kumulang $1.78 milyon ay maaaring ituring na medyo maliit sa mga tuntunin ng makasaysayang pagsasamantala sa mas malalaking protocol, itinatampok ng insidente kung paano kahit ang maliliit na error sa lohika sa mga feed ng presyo ay maaaring humantong sa mas malalaking resulta na nagkakahalaga ng milyun-milyong dolyar sa mga live na merkado.
Ayon sa mga eksperto sa seguridad, ang mga orakulo ay isa pa ring karaniwang kahinaan sa... DeFiAng mga plataporma ng pagpapautang ay umaasa sa tumpak na pagpapahalaga ng mga datos na kolateral. Kapag ang saligan na impormasyong ito ay nalason ng panlabas o panloob na manipulasyon sa presyo, maaaring mabigo ang buong modelo ng panganib ng protocol. Ang insidente ay nagdudulot ng karagdagang pagbabago sa pamamagitan ng pag-uugnay ng isang tipikal na sanhi ng error, mahinang pagpapatunay ng aritmetika at daloy ng data sa AI.
Simula nang mangyari ang exploit, mas naging aktibo ang mga governance forum ng Moonwell, dahil iminungkahi ng mga miyembro ng komunidad ang mga hakbang sa pagpapagaan ng panganib, kabilang ang maximum na bilang ng mga paghiram sa wallet, karagdagang liquidation fee buffer, at on-chain testing bago ipatupad ang mga oracle reconfigurations. Ayon sa mga protocol insider, pinagdedebatihan pa ang mga plano sa pagbawi upang posibleng mabayaran ang mga apektadong user, ngunit pinag-uusapan pa rin ang mga detalye.
Ang Kahulugan Nito para sa AI sa Smart Contract Engineering
Ang aksidente sa Moonwell ay isa sa mga halimbawa ng babala sa mga developer at protocol designer na maaaring gustong magpakilala ng AI sa mahahalagang bahagi ng sistema. Ang mga garantiya ng kawastuhan ng mga smart contract ay mas mataas kaysa sa normal na application code dahil ang integridad sa pananalapi ng mga smart contract ang nakataya. Bagama't ang mga boilerplate template at produktibidad ng developer ay maaaring matulungan ng automated code generation, ang pormal na beripikasyon, inspeksyon ng tao, at mahigpit na pagsubok laban sa mga sitwasyong pang-ekonomiya ay napakahalaga.
Dahil mas maraming kagamitan sa kategoryang tinutulungan ng AI ang inilalapat sa Web3 mga proseso ng inhenyeriya, ang industriya ay nananawagan para sa mga bagong balangkas ng pag-audit, na tahasang tumutugon sa pinagmulan ng AI, lohika ng desisyon, at kawastuhan sa numero. Kabilang dito ang automated testing software, simbolikong pagpapatupad, at mga pamamaraan ng fuzzing na maaaring suriin ang lohika ng isang kontrata sa napakababang antas bago ito ipasok sa produksyon.
Ang pagganap sa pamamahala at mga reaksyon ng komunidad ng Moonwell sa susunod na mga linggo ang malamang na magtatakda ng kalidad kung saan ang mas malawak na DeFi Ituturing ng industriya ang pag-iwas sa panganib gamit ang AI-generated code at posibleng bubuo ng mas mahigpit na mga alituntunin sa pagsasama ng mga generative model sa mga programang pinansyal na kritikal sa produksyon.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Alisa, isang dedikadong mamamahayag sa MPost, ay dalubhasa sa crypto, AI, mga pamumuhunan, at sa malawak na larangan ng Web3. Sa isang matalas na mata para sa mga umuusbong na uso at teknolohiya, naghahatid siya ng komprehensibong saklaw upang ipaalam at hikayatin ang mga mambabasa sa patuloy na umuusbong na tanawin ng digital finance.
Mas marami pang artikulo
Alisa, isang dedikadong mamamahayag sa MPost, ay dalubhasa sa crypto, AI, mga pamumuhunan, at sa malawak na larangan ng Web3. Sa isang matalas na mata para sa mga umuusbong na uso at teknolohiya, naghahatid siya ng komprehensibong saklaw upang ipaalam at hikayatin ang mga mambabasa sa patuloy na umuusbong na tanawin ng digital finance.
