Децентрализованный кредитный протокол Moonwell стал жертвой беспрецедентного инцидента: криптохак стал следствием ошибки, допущенной искусственным интеллектом. Как сообщил аудитор под ником pashov, уязвимость возникла в коде, сгенерированном моделью Claude Opus 4.6. Фатальный сбой произошёл в алгоритме оракула ценообразования — ИИ некорректно рассчитал стоимость токена cbETH как $1,12 вместо реальных $2200, создав «дыру» в $1,78 млн, которой мгновенно воспользовались злоумышленники.
Это уже второй удар по протоколу за короткий срок. 4 ноября хакер вывел $1 млн (295 ETH), эксплуатируя аналогичную уязвимость в оракуле Chainlink: цена залогового токена wrstETH была искусственно завышена до $5,8 млн (при реальной стоимости эфира в $3500). Через бота злоумышленник превратил 0,02 токена в «залог» на $116 000, получил кредит и опустошил резервы. Ранее, в декабре 2024 года, протокол потерял $320 000 из-за флеш-кредитной атаки, а в октябре того же года — более $1,7 млн в сети Base.
Аналитики BlockSec ещё в ноябре предупреждали: системная проблема кроется в архитектуре оракулов. Устаревшие интервалы обновления данных создают временные окна, где цена «зависает» на некорректном уровне — идеальная среда для атак. Теперь к этому добавился новый вектор угрозы: генеративный ИИ, способный внедрять в код логические бомбы, незаметные для поверхностного аудита. Ошибка на 2000% — не просто баг, а тревожный сигнал: когда машина пишет финансовый код, её «опечатки» стоят миллионов. Доверяя ИИ критически важные задачи, индустрия столкнулась с парадоксом — технологии, призванные усилить безопасность, сами становятся источником уязвимостей.
