Вайб-кодинг от Claude Opus: Как ошибка в оракуле обернулась потерей $1,78 млн для Moonwell

Лендинговый протокол Moonwell понес убытки в размере $1,78 млн из-за ошибки в конфигурации оракула. Аудитор смарт-контрактов Pashov связал данный инцидент с вайб-кодингом, осуществленным с помощью Claude Opus 4.6.

Проблема произошла 15 февраля после внедрения предложения ДАО Moonwell — MIP-X43, которое позволило производить сделки с использованием Chainlink OEV на платформах Base и Optimism.

Один из оракулов был настроен неправильно и не корректно указывал цену Coinbase Wrapped ETH в долларах.

Вместо того чтобы умножать курс cbETH/ETH на стоимость ETH/USD, система передавала лишь соотношение этих токенов. В результате оракул отображал цену cbETH приблизительно $1,12 вместо ~$2200.

Необычно низкие цены вызвали значительные ликвидации. Торговые боты начали атаковать позиции с обеспечением в cbETH, погашая около $1 долгов и получая 1096,317 cbETH.

Это привело к утрате большей части или всего обеспечения в cbETH у множества заемщиков и оставило их с серьезными долгами. В то же время некоторые пользователи вносили минимальные суммы для получения займа в cbETH по заниженной стоимости.

«Как только проблема была выявлена, наш риск-менеджер @anthiasxyz быстро снизил лимит заимствования cbETH до 0,01, чтобы минимизировать дальнейшие риски для протокола», — отметили представители Moonwell.

Аудитор смарт-контрактов Pashov указал, что коммиты для Moonwell были созданы совместно с Claude Opus 4.6.

«Claude Opus 4.6 сгенерировал уязвимый код, что стало причиной взлома смарт-контракта с потерей в $1,78 млн.[…] Это первый случай взлома кода Solidity, написанного с использованием вайб-кодинга?», — отметил он.

Эксперт добавил, что за работой ИИ стоит человек, который проверяет результат, и, возможно, аудитор по безопасности. Поэтому обвинять исключительно нейросеть было бы неправильно, хотя инцидент вызывает сомнения насчет использования вайб-кодинга.

Такой подход к программированию становится все более популярным, несмотря на нарастающую критику со стороны профессионалов.

Напомним, что в феврале было проведено исследование, которое выявило 69 уязвимостей в 15 приложениях, созданных с использованием известных инструментов, таких как Cursor, Claude Code, Codex, Replit и Devin.