Moonwell mất 1.78 triệu đô la sau khi phát hiện lỗi hợp đồng thông minh liên quan đến mã được tạo bởi trí tuệ nhân tạo.
Tóm lại
Lỗ hổng bảo mật của Moonwell bắt nguồn từ một lỗi nghiêm trọng trong việc định giá hợp đồng thông minh—một phần do mã được tạo ra bởi trí tuệ nhân tạo—đã định giá sai cbETH và cho phép kẻ tấn công rút tiền, khiến giao thức này gánh khoản nợ xấu khoảng 1.78 triệu đô la.
Moonwell, một DeFi Giao thức cho vay này đã chịu một cú sốc tài chính lớn trong cùng tuần đó khi một lỗi nghiêm trọng trong hợp đồng thông minh định giá sai token Coinbase Wrapped Staked Ether (cbETH), cho phép những kẻ tấn công và các bot thanh lý rút sạch ví và tích lũy khoản nợ xấu khoảng 1.78 triệu đô la.
Phân tích ban đầu sau sự cố cho thấy lỗi logic được thêm vào trong mã được viết chung bởi mô hình AI Claude Opus 4.6, điều này một lần nữa làm dấy lên lo ngại về những nguy hiểm khi đưa trực tiếp mã do AI viết vào sản xuất mà không qua quá trình kiểm tra kỹ lưỡng của con người.
Sai sót về giá xảy ra sau một bản cập nhật quản trị đã cải tiến oracle trên chuỗi của Moonwell, giao thức này chuyển đổi giá thị trường ngoài chuỗi thành thông tin có thể được sử dụng trong logic cho vay của nó. Hệ thống đã tính toán sai giá trị đô la của cbETH, lẽ ra phải được tính bằng cách nhân tỷ giá hối đoái của cả hai với tỷ giá hiện tại. Giá ETH/USDDo đó, họ chỉ sử dụng sai tỷ lệ giữa hai giá trị này, dẫn đến việc định giá cbETH ở mức khoảng 1.12 đô la thay vì giá thực tế trên thị trường là khoảng 2,200 đô la. Sự chênh lệch này đã dẫn đến việc định giá thấp hơn 2,000 lần, điều mà các bot thanh lý và các nhà giao dịch cơ hội đã ngay lập tức lợi dụng.
Các nhà giao dịch hợp đồng thông minh và bot đã thu hồi được một phần nhỏ trong vài phút để nhận lại toàn bộ số cbETH thế chấp trị giá hàng nghìn đô la. Nhìn chung, Moonwell đã mất một lượng lớn các khoản vay không thể thu hồi dưới dạng nợ xấu do giá cả bị bóp méo của hơn 1,096 cbETH đã bị thanh lý.
Sau khi vấn đề được phát hiện, nhóm phát triển Moonwell đã nhanh chóng phản hồi và giảm đáng kể số lượng giới hạn vay và cung cấp trên thị trường cbETH để tránh bị lợi dụng thêm. Tuy nhiên, vì việc khắc phục sự cố cần đến năm ngày bỏ phiếu quản trị và khóa thời gian, nên tình trạng thanh lý vẫn tiếp tục gia tăng trong thời gian đó. Từ đó, giao thức đã đề xuất một phương án quản trị nhằm giải quyết lỗi cấu hình oracle và tăng cường kiểm tra rủi ro.
Vai trò của trí tuệ nhân tạo đang bị xem xét kỹ lưỡng
Mặc dù hầu hết các vụ khai thác trước đây trong DeFi Các sự cố trong lĩnh vực này là do nguồn cấp dữ liệu giá oracle bị tấn công hoặc các khoản vay chớp nhoáng, các nhà phân tích tin rằng điều này là độc nhất vô nhị vì nó có liên quan đến mã được tạo ra bởi AI. Các cam kết trên GitHub được đồng tác giả bởi Claude Opus 4.6, một mô hình tạo sinh tiên tiến, đã được chuyên gia kiểm toán bảo mật hợp đồng thông minh Pashov chỉ ra trên mạng xã hội liên quan đến yêu cầu kéo (pull request) đã thêm logic oracle bị lỗi. Điều này đã gây ra tranh cãi trong giới blockchain và AI về vai trò của AI trong việc phát triển cơ sở hạ tầng tài chính quan trọng.
Quá trình các nhà phát triển dựa vào các đề xuất hoặc gợi ý của AI để viết mã cấp độ sản phẩm được giới chuyên môn gọi là lập trình dựa trên cảm nhận (vibe-coding). Việc quản lý một phép tính giá cơ bản, trong trường hợp này là không nhân tỷ giá hối đoái trung gian với tỷ giá USD chuẩn, đã dẫn đến hậu quả tai hại trong một thị trường tiền tệ thực tế.
Các nhà phê bình nhấn mạnh rằng mặc dù trí tuệ nhân tạo (AI) hữu ích trong việc tăng tốc các tác vụ thường nhật tốn nhiều thời gian, nhưng việc tạo mã trong tự động hóa vẫn chưa đủ am hiểu về kiến thức phức tạp về các bất biến kinh tế và logic xử lý các trường hợp ngoại lệ để có thể sử dụng trong thực tế. DeFi các giao thức. Một lỗi chuyển đổi đơn vị hoặc lỗi tính toán đơn giản trong việc xác định giá cả có thể trở thành rủi ro hệ thống khổng lồ khi được sử dụng trên quy mô lớn, đặc biệt là trong các hệ thống cho vay thế chấp có đòn bẩy cao, nơi khả năng thanh toán của hệ thống phụ thuộc rất nhiều vào giá cả chính xác của thị trường.
Những người ủng hộ trí tuệ nhân tạo (AI) trong phát triển phần mềm cũng thừa nhận những lợi ích về năng suất đạt được khi sử dụng các hệ thống như Claude hoặc các mô hình tạo sinh khác, nhưng lưu ý rằng các hệ thống xác minh chính thức và kiểm toán viên con người vẫn rất cần thiết. Những người này cho rằng AI không thể, nhưng nên bổ sung cho các quy trình xem xét bảo mật cẩn thận, đặc biệt là trong các giao thức với hàng tỷ thanh khoản trên chuỗi.
Ý nghĩa rộng hơn cho DeFi và Phát triển Trí tuệ Nhân tạo
Thất bại của Moonwell đã làm dấy lên một cuộc tranh luận rộng rãi hơn. DeFi cộng đồng về các công cụ, tiêu chuẩn kiểm toán và các biện pháp bảo vệ quản trị. Mặc dù tổng thiệt hại khoảng 1.78 triệu đô la có thể được coi là tương đối nhỏ so với các vụ tấn công trong lịch sử ở các giao thức lớn hơn, nhưng sự cố này cho thấy ngay cả những lỗi logic nhỏ trong nguồn cấp dữ liệu giá cũng có thể dẫn đến thiệt hại hàng triệu đô la lớn hơn trên thị trường thực tế.
Theo các chuyên gia bảo mật, oracle vẫn là một điểm yếu phổ biến trong hệ thống. DeFiCác nền tảng cho vay dựa vào việc định giá chính xác dữ liệu tài sản thế chấp. Một khi thông tin nền tảng này bị sai lệch do thao túng giá từ bên ngoài hoặc bên trong, toàn bộ mô hình rủi ro của giao thức có thể thất bại. Sự cố này đưa ra một khía cạnh khác bằng cách quy kết nguyên nhân lỗi điển hình, đó là việc xác thực kém các phép tính và luồng dữ liệu, cho trí tuệ nhân tạo (AI).
Kể từ khi xảy ra sự cố, các diễn đàn quản trị của Moonwell đã hoạt động tích cực hơn, khi các thành viên cộng đồng đề xuất các biện pháp giảm thiểu rủi ro, bao gồm giới hạn số lần vay ví, tăng thêm phí thanh lý và kiểm thử trên chuỗi trước khi cấu hình lại oracle được thực hiện. Theo những người am hiểu giao thức, các kế hoạch phục hồi đang được thảo luận để có thể bồi thường cho người dùng bị ảnh hưởng, nhưng chi tiết vẫn đang được bàn bạc.
Điều này có ý nghĩa gì đối với AI trong kỹ thuật hợp đồng thông minh?
Tai nạn Moonwell là một trong những ví dụ cảnh báo cho các nhà phát triển và thiết kế giao thức, những người có thể muốn đưa trí tuệ nhân tạo vào các phần quan trọng của hệ thống. Độ chính xác của hợp đồng thông minh được đảm bảo cao hơn nhiều so với mã ứng dụng thông thường vì tính toàn vẹn tài chính của hợp đồng thông minh đang bị đe dọa. Mặc dù việc tạo mã tự động có thể hỗ trợ các mẫu mã chuẩn và năng suất của nhà phát triển, nhưng việc xác minh chính thức, kiểm tra của con người và thử nghiệm nghiêm ngặt đối với các tình huống bất lợi về kinh tế vẫn vô cùng quan trọng.
Với việc ngày càng nhiều công cụ thuộc lĩnh vực hỗ trợ trí tuệ nhân tạo được triển khai, Web3 Trong các quy trình kỹ thuật, ngành công nghiệp đang kêu gọi các khuôn khổ kiểm toán mới, tập trung rõ ràng vào nguồn gốc AI, logic quyết định và tính chính xác về mặt số học. Điều này bao gồm phần mềm kiểm thử tự động, thực thi tượng trưng và các phương pháp làm mờ (fuzzing) có thể kiểm tra logic của một hợp đồng ở mức độ rất thấp trước khi đưa vào sản xuất.
Hiệu quả quản trị và phản ứng của cộng đồng đối với Moonwell trong vài tuần tới có thể sẽ quyết định chất lượng của toàn bộ hệ sinh thái rộng lớn hơn. DeFi Ngành công nghiệp sẽ xử lý việc tránh rủi ro khi sử dụng mã do AI tạo ra và có thể sẽ phát triển các hướng dẫn nghiêm ngặt hơn về việc tích hợp các mô hình tạo sinh vào các chương trình tài chính quan trọng trong sản xuất.
Trách nhiệm công ty
Phù hợp với Hướng dẫn của Dự án Tin cậy, xin lưu ý rằng thông tin được cung cấp trên trang này không nhằm mục đích và không được hiểu là tư vấn pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ hình thức tư vấn nào khác. Điều quan trọng là chỉ đầu tư những gì bạn có thể đủ khả năng để mất và tìm kiếm lời khuyên tài chính độc lập nếu bạn có bất kỳ nghi ngờ nào. Để biết thêm thông tin, chúng tôi khuyên bạn nên tham khảo các điều khoản và điều kiện cũng như các trang trợ giúp và hỗ trợ do nhà phát hành hoặc nhà quảng cáo cung cấp. MetaversePost cam kết báo cáo chính xác, không thiên vị nhưng điều kiện thị trường có thể thay đổi mà không cần thông báo trước.
Giới thiệu về Tác giả
Alisa, một nhà báo tận tâm tại MPostchuyên về tiền điện tử, trí tuệ nhân tạo, đầu tư và lĩnh vực rộng lớn khác. Web3. Với con mắt quan tâm đến các xu hướng và công nghệ mới nổi, cô cung cấp thông tin toàn diện để cung cấp thông tin và thu hút độc giả trong bối cảnh không ngừng phát triển của tài chính kỹ thuật số.
Xem thêm bài viết
Alisa, một nhà báo tận tâm tại MPostchuyên về tiền điện tử, trí tuệ nhân tạo, đầu tư và lĩnh vực rộng lớn khác. Web3. Với con mắt quan tâm đến các xu hướng và công nghệ mới nổi, cô cung cấp thông tin toàn diện để cung cấp thông tin và thu hút độc giả trong bối cảnh không ngừng phát triển của tài chính kỹ thuật số.
