Вайб-кодинг через Claude Opus привел ко взлому DeFi-проекта Moonwell

Лендинговый протокол Moonwell лишился $1,78 млн из-за ошибки в настройках оракула. Аудитор смарт-контрактов Pashov связал инцидент с вайб-кодингом посредством Claude Opus 4.6.

Сбой произошел 15 февраля после активации предложения ДАО Moonwell — MIP-X43. Оно позволило заключать контракты с применением Chainlink OEV на рынках Base и Optimism.

Один из оракулов оказался неправильно настроен. Он некорректно определял долларовую цену Coinbase Wrapped ETH.

Вместо умножения курса cbETH/ETH на стоимость ETH/USD система транслировала только соотношение токенов между собой. В результате оракул показывал цену cbETH около $1,12 вместо ~$2200.

Аномально низкие котировки спровоцировали волну ликвидаций. Торговые боты атаковали позиции с обеспечением в cbETH. Они погашали примерно $1 долга и получали взамен 1096,317 cbETH.

Это уничтожило большую часть или все обеспечение в cbETH у многих заемщиков, оставив значительный долг по их позициям. Параллельно некоторые пользователи вносили минимальное обеспечение для займа cbETH по заниженной цене.

«Как только проблему обнаружили, наш риск-менеджер @anthiasxyz оперативно снизил лимит заимствования cbETH до 0,01, чтобы ограничить дальнейшие риски для протокола», — написали представители Moonwell.

Аудитор смарт-контрактов Pashov обратил внимание, что коммиты для Moonwell написаны в соавторстве с Claude Opus 4.6.

🚨Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
cbETH asset's price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude — Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67

«Claude Opus 4.6 написал уязвимый код, что привело ко взлому смарт-контракта с убытком в $1,78 млн.[…] Это первый взлом кода Solidity, написанного с помощью вайб-кодинга?», — отметил он.

Эксперт добавил, что за ИИ стоит человек, который проверяет готовую работу, и, возможно, аудитор по безопасности. По этой причине винить исключительно нейросеть некорректно, хотя инцидент «заставляет задуматься» о вайб-кодинге.

Подобный подход в программировании становится все более массовым, несмотря на растущую критику со стороны специалистов.

Напомним, в феврале исследование выявило 69 уязвимостей в 15 приложениях, созданных с помощью популярных инструментов Cursor, Claude Code, Codex, Replit и Devin.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник