Vấn đề Nợ Xấu Tại Moonwell
Các pool cho vay của Moonwell đã tích lũy khoảng 1,78 triệu đô la nợ xấu sau khi một oracle định giá sai token cbETH ở mức gần 1 đô la thay vì khoảng 2.200 đô la. Sự cố này đã cho phép các bot và người thanh lý rút tài sản thế chấp chỉ trong vài giờ sau khi một bản cập nhật dựa trên Chainlink được cấu hình sai, được cho là sử dụng logic do AI tạo ra.
Nguyên Nhân và Hệ Quả
Giao thức cho vay tài chính phi tập trung Moonwell đã chịu thiệt hại 1,78 triệu đô la do một lỗi oracle định giá sai Coinbase-wrapped ETH (cbETH), theo báo cáo từ nền tảng này. Lỗ hổng xuất phát từ logic tính toán oracle, được cho là do mô hình AI Claude Opus 4.6 tạo ra, đã giới thiệu một yếu tố tỷ lệ không chính xác trong nguồn cấp giá tài sản, theo thông báo của giao thức.
“Những kẻ tấn công đã vay dựa trên tài sản thế chấp bị định giá thấp nghiêm trọng, rút tiền trước khi lỗi được phát hiện và sửa chữa.”
Moonwell đã mất 1,78 triệu đô la do một lỗi hợp đồng thông minh, được cho là đã được giới thiệu trong mã do AI tạo ra. Logic dễ bị tổn thương này được tạo ra bởi Claude Opus 4.6. Một lỗi trong công thức oracle đã khiến cbETH được định giá ở mức 1,12 đô la thay vì 2.200 đô la, mở ra cơ hội cho việc khai thác.
Rủi Ro và Thách Thức
Lỗi định giá cbETH đã làm sụp đổ yêu cầu thế chấp cho việc vay trong các pool bị ảnh hưởng. Bởi vì các hệ thống cho vay phụ thuộc vào tỷ lệ thế chấp chính xác, giá không chính xác đã cho phép những kẻ tấn công rút tài sản với giá trị hỗ trợ tối thiểu, theo phân tích kỹ thuật của giao thức.
Các oracle giá cả đại diện cho các thành phần bảo mật quan trọng trong các hệ thống cho vay DeFi. Định giá tài sản không chính xác có thể dẫn đến việc vay thiếu thế chấp hoặc thất bại trong việc thanh lý. Nhiều vụ khai thác DeFi lớn trong lịch sử đã liên quan đến việc thao túng oracle hoặc lỗi định giá, thay vì lỗi trong giao thức cốt lõi, theo các báo cáo bảo mật trong ngành.
Những Bài Học Rút Ra
Sự cố Moonwell khác với các vụ khai thác oracle truyền thống ở chỗ logic bị lỗi dường như liên quan đến việc tạo mã tự động bằng AI, thay vì các nguồn dữ liệu oracle độc hại, theo cuộc điều tra sơ bộ của giao thức. Vụ khai thác này làm nổi bật những rủi ro liên quan đến phát triển hợp đồng thông minh hỗ trợ AI trong các ứng dụng tài chính.
Các mô hình ngôn ngữ có thể tăng tốc quy trình lập trình, nhưng các giao thức tài chính yêu cầu độ chính xác cao trong số liệu, xử lý đơn vị và xác thực trường hợp biên, theo các chuyên gia bảo mật blockchain. Trong các hệ thống DeFi, những sai sót nhỏ về số học hoặc tỷ lệ có thể chuyển thành các lỗ hổng hệ thống ảnh hưởng đến định giá tài sản thế chấp và khả năng thanh toán.
Sự cố này đặt ra câu hỏi về việc liệu các thành phần hợp đồng do AI tạo ra có cần tiêu chuẩn kiểm toán nghiêm ngặt hơn so với mã viết tay hay không, theo các nhà nghiên cứu bảo mật. Phát triển hỗ trợ AI ngày càng được sử dụng trong các quy trình kỹ thuật Web3, từ mẫu hợp đồng đến logic tích hợp.
Các mô hình bảo mật và khung kiểm toán vẫn chưa hoàn toàn thích ứng với mã hợp đồng do AI tạo ra, theo các quan sát trong ngành. Các tác động rộng hơn tập trung vào cách mà các lỗi trong việc tạo mã tự động trong logic tài chính đại diện cho một loại rủi ro DeFi mới.
Toán học oracle, các yếu tố tỷ lệ và chuyển đổi đơn vị vẫn là những lĩnh vực yêu cầu độ chính xác cao, nơi mà các lỗi tự động có thể lan truyền thành các lỗ hổng ở cấp độ giao thức, theo phân tích kỹ thuật về sự cố. Khi phát triển hợp đồng thông minh hỗ trợ AI mở rộng, các phương pháp kiểm toán có thể cần phải phát triển để xác minh không chỉ độ chính xác của mã mà còn nguồn gốc tạo ra và các bất biến số liệu, theo các công ty bảo mật blockchain.
