Вайб-кодинг через Claude Opus привел к взлому DeFi-проекта Moonwell
Лендинговый протокол Moonwell лишился $1,78 млн из-за ошибки в настройках оракула. Аудитор смарт-контрактов Pashov связал инцидент с вайб-кодингом посредством Claude Opus 4.6.
Сбой произошел 15 февраля после активации предложения ДАО Moonwell — MIP-X43. Оно позволило заключать контракты с применением Chainlink OEV на рынках Base и Optimism.
Техническая ошибка
Один из оракулов оказался неправильно настроен. Он некорректно определял долларовую цену Coinbase Wrapped ETH.
Вместо умножения курса cbETH/ETH на стоимость ETH/USD система транслировала только соотношение токенов между собой. В результате оракул показывал цену cbETH около $1,12 вместо ~$2200.
Последствия для пользователей
Аномально низкие котировки спровоцировали волну ликвидаций. Торговые боты атаковали позиции с обеспечением в cbETH. Они погашали примерно $1 долга и получали взамен 1096,317 cbETH.
Это уничтожило большую часть или все обеспечение в cbETH у многих заемщиков, оставив значительный долг по их позициям. Параллельно некоторые пользователи вносили минимальное обеспечение для займа cbETH по заниженной цене.
Виноват вайб-кодинг?
Аудитор смарт-контрактов Pashov обратил внимание, что коммиты для Moonwell написаны в соавторстве с Claude Opus 4.6.
Эксперт добавил, что за ИИ стоит человек, который проверяет готовую работу, и, возможно, аудитор по безопасности. По этой причине винить исключительно нейросеть некорректно, хотя инцидент «заставляет задуматься» о вайб-кодинге.
Подобный подход в программировании становится все более массовым, несмотря на растущую критику со стороны специалистов.
Напомним, в феврале исследование выявило 69 уязвимостей в 15 приложениях, созданных с помощью популярных инструментов Cursor, Claude Code, Codex, Replit и Devin.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
