Автор Chao Cheng Zedong тема Новости

Moonwell потерял $1,78 млн из-за сбоя оракула, а участие ИИ в коде вызвало споры в DeFi

Moonwell потерял $1,78 млн из-за сбоя оракула, а участие ИИ в коде вызвало споры в DeFi

Кредитный DeFi-протокол Moonwell, работающий в сетях Base и Optimism, подвергся атаке примерно на $1,78 млн после того, как ценовой оракул для Coinbase Wrapped Staked ETH (cbETH) вернул значение около $1,12 вместо примерно $2 200. Из-за резкого перекоса цены злоумышленники смогли извлечь прибыль.

В pull request для затронутых контрактов видно несколько коммитов, соавтором которых указан Claude Opus 4.6 от Anthropic. Из-за этого аудитор безопасности Pashov публично обратил внимание на инцидент как на пример того, как написание или помощь ИИ при разработке Solidity может обернуться уязвимостью.

Он пояснил, что связал случай с Claude именно из-за отметок о соавторстве в коммитах, что, по его словам, указывает на использование разработчиком ИИ при написании кода, что и привело к уязвимости.

При этом Pashov призвал не считать проблему исключительно «виной ИИ»: по его мнению, ошибка в логике оракула относится к тем, которые мог бы допустить и опытный Solidity-разработчик. Главной причиной он назвал недостаточно строгие проверки и отсутствие полноценной сквозной валидации.

Уязвимый код привел к взлому Moonwell. Источник: Pashov.

Изначально он предположил, что тестирования или аудита могло не быть вовсе, но позже отметил, что команда заявила о наличии unit- и интеграционных тестов в отдельном pull request, а также о заказанном аудите у Halborn.

По его оценке, неправильную настройку цены можно было бы выявить качественным интеграционным тестом с проверкой на реальном взаимодействии с блокчейном, однако он не стал напрямую критиковать другие компании по безопасности.

Небольшие потери — большие вопросы к процессам

Сумма ущерба невелика по меркам крупнейших инцидентов в DeFi — таких как взлом моста Ronin в марте 2022 года, где было похищено более $600 млн, а также серии других атак на мосты и кредитные протоколы на сотни миллионов долларов.

Случай Moonwell выделяется сочетанием соавторства ИИ, на вид простой ошибки в конфигурации цены для крупного актива и того факта, что имеющиеся аудиты и тесты не предотвратили проблему.

Pashov отметил, что его компания не будет радикально менять процессы, но если код выглядит как «vibe coded», команда будет смотреть на него внимательнее и ожидать больше простых промахов, хотя конкретную ошибку оракула он не считает очевидной для обнаружения.

«Vibe coding» и дисциплинированное использование ИИ

Фрейзер Эдвардс, сооснователь и CEO cheqd, поставщика инфраструктуры децентрализованной идентичности, заявил, что спор вокруг vibe coding на самом деле скрывает «две разные интерпретации» того, как используют ИИ.

С одной стороны, по его словам, есть нетехнические основатели, которые просят ИИ генерировать код и не могут самостоятельно его проверить; с другой — опытные разработчики, применяющие ИИ для ускорения рефакторинга, поиска паттернов и улучшения тестирования в рамках зрелого инженерного процесса.

Он подчеркнул, что разработка с помощью ИИ может быть полезной, особенно на стадии MVP, но не должна восприниматься как короткий путь к продакшен-инфраструктуре, тем более в капиталоемких системах вроде DeFi.

Эдвардс также отметил, что любой код смарт-контрактов, созданный ИИ, нужно считать недоверенным вводом и пропускать через строгий контроль версий, понятное владение кодом, ревью несколькими людьми и расширенное тестирование — особенно в зонах высокого риска, таких как права доступа, оракулы и логика ценообразования, а также механизмы обновления.

В итоге, по его словам, ответственная интеграция ИИ упирается в управление и дисциплину: четкие этапы проверки, разделение генерации и валидации кода и понимание того, что любой контракт в враждебной среде может содержать скрытые риски.

Источник: Pashov (x.com/pashov)