Moonwell, децентрализованный финансовый (DeFi) протокол кредитования, развернутый на Base и Optimism, подвергся взлому на сумму около 1,78 миллиона долларов. Причиной послужила ошибка в ценовом оракуле для Coinbase Wrapped Staked ETH (cbETH), который вернул значение около 1,12 доллара вместо 2200 долларов, создав ценовое расхождение, которое злоумышленники смогли использовать для получения прибыли.
В отчете о произошедшем Moonwell сообщил, что в воскресенье было выполнено управление, которое неправильно настроило оракул cbETH, используя только обменный курс cbETH/ETH. Это привело к тому, что система отображала цену cbETH около 1,12 доллара. Протокол заявил, что боты ликвидации и оппортунистические заемщики использовали это ценовое расхождение, в результате чего образовался плохой долг на сумму около 1,78 миллиона долларов.
Pull requests для затронутых контрактов показывают несколько коммитов, совместно созданных Anthropic’s Claude Opus 4.6. Это побудило аудитора безопасности Пашова публично отметить этот инцидент как пример обратного эффекта при написании или помощи в написании Solidity с использованием искусственного интеллекта.
В разговоре с Cointelegraph он сказал, что связал этот случай с Claude, потому что в pull requests было несколько коммитов, совместно созданных Claude, что означает, что «разработчик использовал Claude для написания кода, и это привело к уязвимости».
Однако Пашов предостерег от рассмотрения этой ошибки как уникальной для ИИ. Он описал проблему с оракулом как ошибку, которую «мог допустить даже опытный разработчик Solidity», утверждая, что реальная проблема заключалась в отсутствии достаточно строгих проверок и сквозной валидации.
Уязвимый код привел к взлому Moonwell. Источник:Pashov
Первоначально он сказал, что полагал, что вообще не проводилось ни тестирования, ни аудита, но позже признал, что команда заявила о наличии модульных и интеграционных тестов в отдельном pull request и о заказе аудита от Halborn.
По его мнению, ценовое расхождение «можно было обнаружить с помощью интеграционного теста, правильного, интегрированного с блокчейном», но он отказался критиковать другие фирмы, занимающиеся безопасностью, напрямую.
Небольшая потеря, большие вопросы управления
Сумма взлома относительно невелика по сравнению с некоторыми из крупнейших инцидентов в DeFi, таких как взлом моста Ronin в марте 2022 года, когда злоумышленники украли более 600 миллионов долларов, или другими взломами мостов и кредитных протоколов на девятизначные суммы.
Особенностью Moonwell является сочетание совместного авторства ИИ, кажущейся базовой ошибки конфигурации цены на крупный актив и существующих аудитов и тестов, которые не смогли ее обнаружить.
Пашов сказал, что его компания не будет принципиально менять свой процесс, но если код будет выглядеть «созданным под влиянием настроения» («vibe coded»), его команда «будет смотреть более внимательно» и ожидать более высокую плотность поверхностных проблем, хотя эта конкретная ошибка оракула «была не так проста», чтобы ее обнаружить.
«Vibe coding» против дисциплинированного использования ИИ
Фрейзер Эдвардс, соучредитель и генеральный директор cheqd, поставщика децентрализованной инфраструктуры идентификации, рассказал Cointelegraph, что дебаты вокруг «vibe coding» маскируют «два очень разных подхода» к использованию ИИ.
С одной стороны, по его словам, находятся нетехнические основатели, использующие ИИ для генерации кода, который они не могут самостоятельно проверить; с другой стороны, опытные разработчики используют ИИ для ускорения рефакторинга, исследования шаблонов и тестирования в рамках зрелого инженерного процесса.
Разработка с помощью ИИ «может быть ценной, особенно на стадии MVP [минимально жизнеспособного продукта]», отметил он, но «не должна рассматриваться как способ быстрого создания производственной инфраструктуры», особенно в капиталоемких системах, таких как DeFi.
Эдвардс утверждал, что весь код смарт-контрактов, сгенерированный ИИ, должен рассматриваться как недоверенный ввод, подлежащий строгому контролю версий, четкому владению кодом, многостороннему рецензированию и расширенному тестированию, особенно в отношении высокорисковых областей, таких как контроль доступа, оракулы, логика ценообразования и механизмы обновления.
«В конечном счете, ответственное внедрение ИИ сводится к управлению и дисциплине», — сказал он, с четкими контрольными точками рассмотрения, разделением между генерацией и валидацией кода и предположением, что любой контракт, развернутый в состязательной среде, может содержать скрытые риски.
