Moonwell借贷池遭遇重大损失
Moonwell的借贷池因cbETH预言机将该代币错误定价为接近1美元,而非约2200美元,导致约178万美元的不良债务。此错误使得机器人和清算者在错误配置的基于Chainlink的更新后数小时内迅速抽走了抵押品。
攻击的根源
根据平台的报告,去中心化金融借贷协议Moonwell因价格预言机的漏洞遭受了178万美元的攻击。该漏洞源于由AI模型Claude Opus 4.6生成的预言机计算逻辑,该逻辑在资产价格数据中引入了错误的缩放因子。
攻击者利用严重低估的抵押品进行借贷,在错误被发现和修正之前提取了资金。
智能合约漏洞的影响
Moonwell因智能合约漏洞损失了178万美元,该漏洞显然是由AI生成的代码引入的。Claude Opus 4.6生成的脆弱逻辑导致cbETH的价格被定为1.12美元,而非2200美元,从而为攻击提供了可乘之机。
cbETH的错误定价有效地降低了受影响池的借贷抵押要求。由于借贷系统依赖于准确的抵押比率,错误的价格使得攻击者能够以极低的支持价值提取资产,协议的技术分析指出。
预言机的重要性与风险
价格预言机在DeFi借贷系统中是关键的安全组件。资产估值不准确可能导致低抵押借贷或清算失败。根据行业安全报告,许多主要的DeFi攻击历史上涉及预言机操控或定价错误,而非核心协议缺陷。
Moonwell事件与传统的预言机攻击不同,因为故障逻辑似乎与自动化AI代码生成有关,而非恶意的预言机数据源,根据协议的初步调查。
AI辅助开发的风险
此次攻击突显了在金融应用中与AI辅助智能合约开发相关的风险。语言模型可以加速编码工作流程,但金融协议需要精确的数值正确性、单位处理和边界情况验证,区块链安全专家指出。
在DeFi系统中,微小的算术或缩放错误可能转化为影响抵押估值和偿付能力的系统性漏洞。该事件引发了关于AI生成的合约组件是否需要比手动编写的代码更严格的审计标准的质疑,安全研究人员表示。
未来的审计挑战
AI辅助开发在Web3工程工作流程中越来越普遍,从合约模板到集成逻辑。安全模型和审计框架尚未完全适应AI生成的合约代码,行业观察者指出。
更广泛的影响集中在金融逻辑中的自动化代码生成错误代表了一种新的DeFi风险类别。预言机数学、缩放因子和单位转换仍然是高精度领域,自动化故障可能传播到协议级别的漏洞,技术分析指出。
随着AI辅助智能合约开发的扩展,审计方法可能需要向验证代码正确性、生成来源和数值不变性演变,区块链安全公司表示。
