Помилка в коді від ШІ Claude Opus 4.6 коштувала DeFi-протоколу Moonwell майже $1,8 млн
Опублікував Андрій Шадрін
18.02.2026 20:00
Photo: Protos.com
Moonwell втратив $1,78 млн після збою оракула, який неправильно оцінив cbETH. Код, написаний за участі ШІ Claude Opus 4.6, сприяв виникненню бага, у сотні разів зменшивши вартість активу. Moonwell обмежив запозичення, але ліквідації все одно розпочалися.
DeFi-протокол кредитування Moonwell зазнав значної втрати після помилки в конфігурації оракула, яка неправильно оцінила cbETH. Інцидент, який пов’язують із помилкою низького рівня у формулі цінового фіду, призвів до того, що вартість cbETH відображалася на рівні $1,12 замість приблизно $2 200. Аудитор блокчейну pashov написав у X, що проблемний код був написаний спільно з Claude Opus 4.6 — ШІ для написання коду. Ризик-менеджер Moonwell, anthiasxyz, швидко вжив заходів, щоб скоротити запозичення та пропозицію, знизивши ліміти, але ліквідації вже тривали.
“Claude Opus 4.6 написав вразливий код, що призвело до експлойту смартконтракту з втратою $1,78 млн. Ціну активу cbETH було встановлено на рівні $1,12 замість приблизно $2 200. PR проєкту показують, що коміти були створені у співавторстві з Claude — чи це перший злам “vibe-кодингу” на Solidity?” — каже Пашов.
Проблема з’явилася 15 лютого 2026 року, невдовзі після того, як MIP-X43 активував контракти-обгортки Chainlink OEV на Base та Optimism. Замість правильного розрахунку ціни через зв’язку cbETH/ETH і ETH/USD система фактично брала до уваги лише співвідношення між токенами, не переводячи його в доларовий еквівалент Ethereum. У результаті оракул відображав ціну cbETH на рівні близько $1,12, тоді як реальна ринкова вартість активу становила приблизно $2200. Через таку помилку механізм ліквідацій спрацював майже миттєво. Торгові боти почали масово закривати позиції, забезпечені cbETH, оскільки протокол вважав їх недостатньо покритими.
Дані: Х
Фактично ліквідатори погашали мінімальні суми боргу та отримували натомість непропорційно великі обсяги застави. У деяких випадках за близько $1 погашеного зобов’язання можна було забрати понад тисячу cbETH. Це практично обнуляло заставу позичальників і водночас залишало їх із залишковим боргом у системі. За оцінкою Moonwell, загальні втрати становлять $1,78 млн, головним чином через cbETH, WETH і USDC. Це викликало занепокоєння щодо використання ШІ у кодуванні для DeFi. Засновник SlowMist Cos назвав це “дуже низькорівневим” багом, наголосивши на важливості бездоганного налаштування оракулів. Це може бути першим великим зламом, пов’язаним із “vibe-кодингом” на Solidity, написаним із використанням ШІ, який стає дедалі поширенішим у просторі DeFi.
“Ми розслідуємо проблему з Core-ринком cbETH у мережі Base. Як запобіжний захід наш ризик-менеджер anthiasxyz тимчасово знизив ліміт запозичень для цього ринку до 0,01. Ми ділитимемося оновленнями в міру надходження нової інформації”, — майже одразу відреагувала Moonwell у Х.
Форум спільноти Moonwell після інциденту активно обговорює події. Користувач UserNate пояснив, що втратив 2,6 cbETH і деякі позиції з кредитним плечем, але підкреслив, що проблема полягала у багу протоколу, а не в ринкових коливаннях. Stevex запропонував встановити ліміт запозичень на один гаманець, щоб запобігти спустошенню пулу в разі майбутніх помилок. Luke запропонував визначити комісії за ліквідацію, щоб допомогти з плануванням компенсацій користувачам. Трохи згодом Moonwell опублікувала оновлення:
“Жодні інші ринки в мережах Base або OP Mainnet не постраждали. Проблема ізольована лише до Core-ринку cbETH у мережі Base. Після виявлення наш ризик-менеджер оперативно знизив ліміт запозичень cbETH до 0,01, щоб обмежити подальший ризик для протоколу. Ліміт постачання також було зменшено до 0,01, щоб запобігти тому, аби нові користувачі несвідомо надавали ліквідність на уражений ринок. Ліміти постачання та запозичень для всіх інших ринків залишаються на звичайному рівні”, — повідомила Moonwell.
Moonwell заявила, що інші ринки на Base або Optimism не постраждали. Команда повідомила, що після обов’язкового п’ятиденного timelock очікується пропозиція щодо управління для виправлення помилок оракула. Тим часом ліквідації тривають, і користувачам необхідно ретельно відстежувати свої чисті збитки. У листопаді в Moonwell також стався інцидент із неправильним відображенням ціни, але команда тоді уточнила, що інцидент на $1 млн не був зламом, а помилкою звітності ціни, що підкреслює постійну важливість надійних перевірок оракулів.
Дані: Х
Збій у Moonwell демонструє, наскільки крихкими можуть бути платформи DeFi, коли їхні цінові фіди працюють неправильно. Навіть невеликі помилки можуть коштувати мільйони. Використання ШІ для написання коду додає зручності, але люди все одно мають усе ретельно перевіряти. Платформи повинні мати сильніші механізми безпеки та чіткі правила для захисту коштів користувачів.