區塊先生 🐡 ⚠️ (rock #58)|2026年02月18日 06:49
標籤🏷️起來
@MoonwellDeFi 借貸協議發生嚴重事件,損失約 $178 萬美元 壞帳,而這次漏洞的關鍵代碼,竟是透過 @AnthropicAI Claude Opus 4.6 協助撰寫的!
事件核心: cbETH 的 oracle 價格被錯設成約 $1.12(實際市場價約 $2,200),相當於打了 99.9% 超級折扣。攻擊者(多為自動化機器人)用極低成本清算大量 cbETH 抵押品,只要還約 $1 的債,就能拿走價值數千美元的資產,總共清算約 1,096 顆 cbETH,留下巨額壞帳。
問題出在治理提案 MIP-X43 啟用 Chainlink OEV wrapper 時,oracle 計算公式漏乘了 ETH/USD 價格,只用了 cbETH/ETH 比率,造成嚴重低估。GitHub commit 顯示這段有問題的邏輯是由人類開發者與 Claude 共同署名(co-authored),被視為首個因「AI vibe-coding」導致的重大 DeFi 漏洞事件。
Moonwell 已緊急把 cbETH 的借貸與供給上限降到極低,阻斷進一步損失。但這件事敲響警鐘:
- 再強的 AI(Claude 4.6 甚至在資安 benchmark 上超強),寫出的 Solidity 代碼仍可能藏致命邏輯錯誤
- DeFi oracle 配置是命脈,一個乘法漏掉就能蒸發數百萬
- 「快速迭代 + AI 輔助」很潮,但高風險核心代碼絕對不能省掉人類雙重審核與專業審計
這大概是 DeFi 史上第一筆明確指向 AI 共著代碼的百萬級損失案例。未來 AI 寫合約會更普及,但安全流程也得跟著升級才行。
小心再小心,審計再審計,別讓 AI 變成「最貴的 bug 製造機」。
#DeFi #Moonwell #cbETH #Oracle #AICoding #CryptoSecurity(區塊先生 🐡 ⚠️ (rock #58))
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接