Это всё из-за Vibe Coding? Предсказатель Moonwell вышел из строя, кто заплатит за 1,78 миллиона безнадежных долгов?

Moonwell из-за неправильной настройки оракула сообщил ложную цену cbETH в 1 доллар, что вызвало ликвидацию на сумму 2,44 миллиона и кризис плохих долгов, а безопасность AI-кода вновь поставлена под сомнение.

Ошибка настройки оракула: цена cbETH мгновенно «провалилась» до 1 доллара

В мире децентрализованных финансов (DeFi) точное ценообразование — жизненно важный элемент существования протокола, однако одна грубая техническая ошибка обошлась известному кредитному протоколу Moonwell очень дорого.

15 февраля протокол Moonwell, развернутый в сетях Base и Optimism, столкнулся с серьезной ошибкой конфигурации оракула, которая привела к тому, что цена на залог в виде Coinbase-обернутого стейблкоина (cbETH) резко упала с примерно 2200 долларов до около 1.12 доллара. Этот скачок в 99.9% — не отражение реальных рыночных колебаний, а результат выполнения предложения по управлению MIP-X43, при котором логика подачи цен через Chainlink была настроена неправильно. Когда система ошибочно приняла курс cbETH к ETH (около 1.12) за его долларовую цену, не умножив его на текущую цену ETH в долларах, произошел катастрофический сбой.

Хотя эта ценовая ошибка длилась всего несколько минут, для круглосуточных роботов ликвидации и спекулянтов этого было достаточно для масштабной «охоты за богатством». Согласно последующему отчету Moonwell, роботы ликвидации быстро заметили фиктивное «обнуление» стоимости залога в виде cbETH и начали ликвидацию, погасив долг всего около 1 доллара, чтобы забрать залог стоимостью более 2000 долларов.

Статистика показывает, что за этот период было неправомерно ликвидировано 1096.317 cbETH на общую сумму около 2,44 миллиона долларов. Это не только привело к тому, что несколько заемщиков остались без залога, но и создало внутри протокола долг в размере 1.78 миллиона долларов. Несмотря на то, что команда по управлению рисками Moonwell — Anthias Labs — в течение нескольких минут после обнаружения аномалии резко снизила лимиты на заимствование и поставку cbETH до 0.01, из-за наличия обязательной блокировки (Timelock) на пять дней протокол не мог немедленно исправить ошибку цены, и часть процессов ликвидации продолжила работу.

Claude Opus 4.6 помог? Обсуждение безопасности из-за AI-кода

Причина, по которой это событие вызвало бурную дискуссию в сообществе, заключается не в размере потерь, а в процессе написания кода. Блокчейн-безопасный аудитор Pashov в социальной сети X заявил, что ключевой код, вызвавший уязвимость, скорее всего, был создан совместно с помощью AI-модели Anthropic Claude Opus 4.6. Анализ Pull Request 578 на GitHub показывает, что несколько коммитов были отмечены как совместная работа с Claude.

Источник: X/@pashov Блокчейн-безопасный аудитор Pashov отметил, что ключевой код, вызвавший уязвимость, скорее всего, был создан совместно с помощью AI-модели Anthropic Claude Opus 4.6

Pashov выразил сомнение, что это может стать первым случаем в индустрии DeFi, когда масштабный взлом вызван «Vibe Coding» — термином, обозначающим использование AI для интуитивного генерации кода без строгой логической проверки.

Он отметил, что активность разработчика на GitHub за последнюю неделю превышала 1000 коммитов, что свидетельствует о высокой зависимости от AI и недостатке глубокого ревью кода, что создает серьезные риски для безопасности протокола.

Дискуссия о «Vibe Coding» быстро распространилась в техническом сообществе. Соучредитель cheqd Fraser Edwards считает, что AI-помощь в разработке — это острый нож: она помогает опытным инженерам ускорить рефакторинг и исследование новых моделей, но также может привести к зависимости у разработчиков без глубоких технических знаний, пропуская важные проверки и тесты. Pashov добавил, что хотя ошибка конфигурации оракула — это «низкий уровень» ошибки, которую могут допустить даже опытные инженеры, чрезмерное доверие AI и игнорирование интеграционных тестов увеличивают риски. Ирония в том, что, несмотря на заявления Moonwell о прохождении аудита Halborn и наличии тестов, ни один из них не выявил критическую проверку «разумности цен» (Price Sanity Check), что привело к запуску AI-сгенерированного кода с ошибочной логикой.

Технический разбор: исчезнувший коэффициент пересчета и кризис плохих долгов

Глубокий анализ уязвимости показывает, что проблема связана с неправильной формулой расчета цены cbETH. В нормальных условиях цена cbETH в долларах должна вычисляться как произведение курса cbETH к ETH и цены ETH в долларах. Однако в пострадавшей версии оракула использовался только курс cbETH к ETH, без учета цены ETH в долларах.

Это привело к разрыву в бухгалтерской логике: залог заемщика оценивался в 1.12 доллара, тогда как заемные активы (например, USDC или WETH) оставались по рыночной цене. Такое несоответствие позволило ликвидаторам за доли миллисекунд совершать арбитражные операции с высокой прибылью.

Помимо пассивных жертв — ликвидаторов, некоторые спекулянты использовали аномальную цену для взятия в долг cbETH по очень низкой стоимости, что еще больше увеличило долг протокола. Данные Anthias Labs показывают, что плохие долги на сумму около 1.78 миллиона долларов распределены по рынкам cbETH, WETH и USDC. Moonwell не впервые сталкивается с проблемами цен: в ноябре 2025 года протокол уже сталкивался с цепной реакцией оракулов после атаки на Balancer, что привело к долгам примерно в 3.7 миллиона долларов.

Частые сбои оракулов подчеркивают, что даже малейшие арифметические ошибки или неправильная настройка масштабных коэффициентов в условиях капиталоемкого DeFi могут привести к системным банкротствам. Для пользователей это не только потеря активов, но и серьезное сомнение в справедливости автоматизированных механизмов ликвидации.

Трижды за полгода — новые уязвимости оракулов Moonwell

За последние полгода Moonwell трижды сталкивался с уязвимостями оракулов: в октябре 2025 года из-за рыночных колебаний было потеряно 1.7 миллиона долларов, в ноябре — из-за сбоя третьих сторон — 3.7 миллиона, а в этот раз — из-за ошибки AI-кода — 1.78 миллиона долларов. В сумме за полгода протокол потерял более 7 миллионов долларов.

Для сравнения, в августе 2024 года его общая заблокированная сумма (TVL) достигала 380 миллионов долларов, а сейчас — около 90 миллионов. Постоянные инциденты с безопасностью явно подрывают доверие инвесторов. Несмотря на то, что команда заявляет о планах исправлений и о том, что другие рынки на Base и Optimism не пострадали, наличие блокировок и задержек в управлении вновь показывает слабость DeFi-протоколов в экстренных ситуациях.

Пример Moonwell показывает, что AI может повысить производительность, но не может нести юридическую и финансовую ответственность. Разработчики должны внедрять более строгие проверки, рассматривать AI-сгенерированный код как «невероятный вход», усиливать ручной peer review и тестировать крайние случаи. В темных лесах DeFi любой, кто гонится за скоростью ценой безопасности, рискует оказаться в долгах и потерять активы.