Эксплоит Moonwell: ошибка оракула cbETH и «виб-кодинг» с ИИ стоили $1,78 млн

Протокол децентрализованного кредитования Moonwell, работающий на сетях Base и Optimism, стал жертвой атаки на сумму $1,78 млн из-за критической ошибки в конфигурации оракула для токена cbETH (Coinbase Wrapped Staked ETH). Инцидент, произошедший в феврале 2026 года, привлёк внимание не только из-за финансовых потерь, но и потому, что уязвимый код был частично сгенерирован с помощью ИИ — в частности, модели Claude Opus 4.6 от Anthropic.

🔍 Как произошёл эксплоит?

Причина катастрофы — в предложении по управлению, принятом сообществом Moonwell. Оно внесло изменения в оракульную систему, но разработчики ошибочно использовали только курс обмена cbETH/ETH, игнорируя рыночную стоимость самого ETH. В результате система считала, что 1 cbETH = 1 ETH = $1,12 (внутренняя цена тестовой среды), тогда как реальная цена ETH превышала $2 200.

Это мгновенно вызвало цепную реакцию:

• Кредитные лимиты пользователей резко выросли
• Боты начали брать займы под заниженное обеспечение
• Средства выводились, а позиции оставались невозвратными

«Умный контракт — это не просто код. Это юридический документ, написанный на языке машин. Одна ошибка — и весь договор рушится», — Виталик Бутерин, сооснователь Ethereum.

🤖 Роль ИИ: «виб-кодинг» или дисциплина?

Анализ коммитов в GitHub показал, что уязвимый код был частично написан с помощью Claude Opus 4.6. Исследователь безопасности Пашов отметил: «Разработчик использовал ИИ для генерации логики оракула, и это привело к уязвимости».

Однако он подчеркнул: проблема не в ИИ как таковом, а в отсутствии строгой верификации. «Даже опытный разработчик мог допустить такую ошибку. Но если вы доверяете ИИ без peer review, вы играете в русскую рулетку».

🛡️ Были ли аудит и тесты?

Да — и это делает инцидент ещё более тревожным. Команда Moonwell провела:

• Аудит у Halborn — одной из ведущих фирм в DeFi
• Юнит- и интеграционные тесты — в отдельном pull request

Но ни один из этих этапов не выявил ошибку в логике ценообразования. Как отметил Пашов: «Интеграционный тест, подключённый к реальной цепочке, легко бы её поймал. Но его не было».

📉 Контекст: рост «виб-кодинга» в DeFi

Термин «виб-кодинг» (vibe coding) описывает практику, когда разработчики генерируют код через ИИ, основываясь на «ощущении», а не на формальной спецификации. По данным Electric Capital, в 2025 году 38% новых DeFi-проектов использовали ИИ на этапе MVP.

Это ускоряет разработку, но создаёт риски:

• Непонимание контекста ИИ
• Отсутствие ownership’а кода
• Снижение качества peer review

💡 Как избежать подобных ошибок?

Эксперты рекомендуют следующие меры для проектов, использующих ИИ:

• Все сгенерированные фрагменты должны проходить обязательный код-ревью как минимум двумя senior-разработчиками
• Интеграционные тесты должны запускаться в mainnet-fork среде с реальными данными оракулов
• Критические компоненты (оракулы, доступы, upgrade-механизмы) не должны генерироваться ИИ без ручной верификации
• Ввести политику «нулевого доверия» к AI-assisted коду в production-средах

🔮 Будущее: ответственность за ИИ-ассистированную разработку

Инцидент с Moonwell знаменует переход к новой парадигме: ИИ — это не замена инженеру, а инструмент, требующий дисциплины. Как сказал Фрейзер Эдвардс, CEO cheqd:

«Ответственная интеграция ИИ сводится к управлению и дисциплине. Код, сгенерированный ИИ, должен рассматриваться как ненадёжный ввод».

✨ Заключение: технология не спасает от человеческой слабости

Даже при наличии аудита, тестов и передовых инструментов, одна логическая ошибка может уничтожить миллионы долларов. Moonwell — не первый и не последний случай. Но он служит напоминанием: в мире, где деньги — это исполняемый код, дисциплина важнее скорости.

Потому что в DeFi нет «отката». Есть только уроки — и те, кто готов их учить.