Error de Oracle deja a la plataforma DeFi Moonwell con 1.8 millones de dólares en deuda incobrable

En resumen

• Un oráculo mal configurado valoró cbETH en aproximadamente 1 dólar en lugar de unos 2.200 dólares.
• Las liquidaciones se llevaron 1.096,317 cbETH y aniquilaron la garantía de los prestatarios.
• El protocolo quedó con 1,78 millones de dólares en deuda incobrable en espera de una solución de gobernanza.

Un fallo en el precio de un domingo por la mañana se convirtió en un dolor de cabeza multimillonario para la plataforma de préstamos DeFi Moonwell, después de que un “oráculo mal configurado” valorara brevemente Coinbase Wrapped ETH (cbETH) en solo 1 dólar. El error en el precio causó un descuento del 99,9% respecto al valor de mercado real del activo, que era de aproximadamente 2.200 dólares. El error provocó una ola de liquidaciones, dejando finalmente a la plataforma con aproximadamente 1,78 millones de dólares en deuda incobrable. “Una vez identificado, nuestro gestor de riesgos @anthiasxyz actuó rápidamente para reducir el límite de préstamo de cbETH a 0.01 para contener más riesgos para el protocolo”, escribió Moonwell en X el lunes. “El límite de suministro también se redujo a 0.01 para evitar que nuevos usuarios suministraran sin saberlo al mercado afectado.” 

En una publicación en el foro de Moonwell el lunes, la firma de gestión de riesgos Anthias Labs informó que el error ocurrió a las 6:01 p.m. UTC del 15 de febrero, cuando se ejecutó la propuesta de gobernanza DAO de Moonwell, MIP-X43, habilitando los contratos envoltorios Chainlink OEV en los mercados de Base y Optimism. Uno de estos oráculos estuvo mal configurado y no logró valorar correctamente el valor en USD de cbETH. Moonwell explicó que, en lugar de multiplicar la cotización cbETH/ETH por el precio ETH/USD, el sistema utilizó solo la tasa de cambio cruda cbETH/ETH. Como resultado, el oráculo reportó cbETH en torno a 1,12 dólares. Los bots de trading comenzaron a apuntar a las posiciones de garantía en cbETH, y dado que el sistema creía que cbETH valía poco más de 1 dólar, los liquidadores pudieron pagar aproximadamente 1 dólar de deuda para apoderarse de un total de 1.096,317 cbETH, indicó la compañía. “Esto eliminó la mayor parte o toda la garantía en cbETH de muchos prestatarios, dejando una deuda incobrable sustancial en sus posiciones, ya que la cantidad pagada fue mucho menor que el valor real prestado”, escribió Anthias Labs.

El precio distorsionado también permitió la explotación. “Un menor número de usuarios explotó la distorsión en los precios para suministrar garantías mínimas, sobre-endeudando en masa en cbETH a precios artificialmente bajos y generando instantáneamente deuda incobrable adicional denominada en cbETH”, añadió la firma. Aunque el oráculo mal configurado fue en gran parte responsable, los usuarios en X comenzaron a circular imágenes del MIP-X43 atribuidas a Claude Opus 4.6, y algunos lo calificaron como un error de “código de vibración”. Al ser consultado por Decrypt sobre el error y la explotación resultante, un portavoz de Moonwell se negó a comentar. En total, Moonwell quedó con 1.779.044 dólares en deuda incobrable en varios mercados, según la publicación. Según Moonwell, una próxima votación de gobernanza abordará la configuración del oráculo tras el período de bloqueo de tiempo requerido. Moonwell es el último de una lista creciente de proyectos DeFi explotados por oráculos mal configurados. En diciembre, Ribbon Finance perdió unos 2,7 millones de dólares tras un error de decimal en una actualización del oráculo que distorsionó la valoración de activos y permitió la sobrecolateralización. En enero, la plataforma DeFi Makina Finance fue explotada mediante manipulación del oráculo impulsada por préstamos flash, permitiendo a un atacante extraer aproximadamente 4 millones de dólares en ETH.