🤖 AI kod i wróżka „iluzja”: Protokół Moonwell ponownie padł ofiarą ataku
Inwestorzy w protokole pożyczek DeFi Moonwell ponownie stają przed poważnym wyzwaniem. Najnowsze zdarzenie bezpieczeństwa ujawniło śmiertelny punkt ryzyka: tym razem „winowajca” wskazuje na sztuczną inteligencję (AI).
Przebieg wydarzeń
Eksperci ds. bezpieczeństwa kryptograficznego wskazują, że w kodzie wygenerowanym przez model Claude Opus 4.6 występują poważne luki. Ta AI popełniła podstawowy błąd logiczny podczas pisania algorytmu cenowego dla aktywów cbETH.
System błędnie obliczył cenę cbETH na 1,12 USD, podczas gdy jego rzeczywista wartość rynkowa wynosi około 2200 USD. To ogromne odchylenie cenowe bezpośrednio otworzyło drzwi dla hakerów do zysku.
Historia częstych luk:
To nie pierwszy raz, kiedy Moonwell napotyka tego typu atak; jego systematyczne problemy stają się coraz bardziej oczywiste:
Listopad 2025: został zaatakowany na kwotę 1 miliona dolarów (295 ETH). Przyczyną był błąd w wycenie wrstETH przez wróżkę Chainlink (wyświetlane jako 5,8 miliona dolarów, podczas gdy ETH wówczas wynosił tylko 3500 dolarów). Październik - grudzień 2024: na sieci Base miał miejsce szereg ataków flash loan, które łącznie spowodowały straty przekraczające 2 miliony dolarów.
Głębsze przyczyny
Firma bezpieczeństwa BlockSec wielokrotnie ostrzegała wcześniej. Kluczowym problemem jest niewłaściwa konfiguracja wróżek oraz zbyt długie interwały aktualizacji danych. Gdy dane o cenach są opóźnione lub zawierają błędy logiczne, napastnicy mogą wykorzystać fałszywe aktywa o wysokiej wartości jako zabezpieczenie i pożyczyć prawdziwe aktywa o niskiej wartości (takie jak wstETH), aby opróżnić rezerwy protokołu.
Kluczowa lekcja
Ślepe zaufanie do kodu generowanego przez AI podczas pisania inteligentnych kontraktów, bez przeprowadzenia głębokiej audytacji ręcznej, jest niezwykle niebezpieczne. AI może być dobra w pisaniu poprawnego składniowo kodu, ale nie jest w stanie w pełni zrozumieć złożonych rynkowych ryzyk finansowych i specyficznych mechanizmów działania wróżek.
🛡 Podsumowanie: korzystając z protokołów DeFi, upewnij się, że projekt przeszedł najnowszy audyt bezpieczeństwa oraz że jego mechanizm wyceny jest wystarczająco solidny.
