Moonwellの貸出プールにおける損失
Moonwellの貸出プールは、cbETHオラクルがトークンを約$1ではなく約$2,200で誤価格設定したため、約$1.78Mの損失を被りました。この誤設定により、ボットや清算業者が数時間以内に担保を流出させることが可能になりました。
問題の原因と影響
この問題は、AI生成のロジックを使用したChainlinkベースの更新の設定ミスによるものと報告されています。プラットフォームの報告によると、分散型金融貸出プロトコルMoonwellは、CoinbaseラップドETH(cbETH)の価格オラクルのバグにより$1.78Mの損失を被りました。
この脆弱性は、AIモデルClaude Opus 4.6によって生成されたオラクル計算ロジックに起因しており、資産価格フィードに不正確なスケーリングファクターを導入したとされています。
攻撃者は、著しく過小評価された担保に対して借入を行い、エラーが検出され修正される前に資金を引き出しました。Moonwellは、AI生成コードにより報告されたスマートコントラクトのバグによって$1.78Mを失いました。
オラクルの重要性とリスク
価格オラクルは、DeFi貸出システムにおける重要なセキュリティコンポーネントを表しています。不正確な資産評価は、過少担保の借入や清算失敗を引き起こす可能性があります。業界のセキュリティレポートによると、多くの主要なDeFiの悪用は、コアプロトコルの欠陥ではなく、オラクルの操作や価格エラーに関連しています。
Moonwellの事件は、誤ったロジックが悪意のあるオラクルデータフィードではなく、自動化されたAIコード生成に関連している点で、従来のオラクルの悪用とは異なります。
この悪用は、金融アプリケーションにおけるAI支援のスマートコントラクト開発に伴うリスクを浮き彫りにしています。言語モデルはコーディングワークフローを加速できますが、金融プロトコルには正確な数値の正確性、単位の取り扱い、エッジケースの検証が必要です。
今後の監査基準と影響
DeFiシステムでは、小さな算術的またはスケーリングのミスが、担保評価や支払い能力に影響を与える体系的な脆弱性に変わる可能性があります。この事件は、AI生成の契約コンポーネントが手動で書かれたコードよりも厳格な監査基準を必要とするかどうかについての疑問を提起しています。
AI支援の開発は、契約テンプレートから統合ロジックに至るまで、Web3エンジニアリングワークフロー全体でますます使用されています。セキュリティモデルや監査フレームワークは、AI生成の契約コードに完全には適応していないと業界の観察者は指摘しています。
より広範な影響は、金融ロジックにおける自動コード生成エラーが新たなDeFiリスクのカテゴリーを表すことに集中しています。
オラクルの数学、スケーリングファクター、単位変換は、プロトコルレベルの脆弱性に伝播する可能性のある高精度の領域であり、事件の技術分析によると、AI支援のスマートコントラクト開発が拡大するにつれて、監査方法論はコードの正確性だけでなく、生成の出所や数値の不変性を検証する方向に進化する必要があるでしょう。
