Вайб-кодинг через Claude Opus привел к взлому DeFi-проекта Moonwell
Лендинговый протокол Moonwell лишился $1,78 млн из-за ошибки в настройках оракула. Аудитор смарт-контрактов Pashov связал инцидент с вайб-кодингом посредством Claude Opus 4.6.
Сбой произошел 15 февраля после активации предложения ДАО Moonwell — MIP-X43. Оно позволило заключать контракты с применением Chainlink OEV на рынках Base и Optimism.
Техническая ошибка
Один из оракулов оказался неправильно настроен. Он некорректно определял долларовую цену Coinbase Wrapped ETH.
Вместо умножения курса cbETH/ETH на стоимость ETH/USD система транслировала только соотношение токенов между собой. В результате оракул показывал цену cbETH около $1,12 вместо ~$2200.
Последствия для пользователей
Аномально низкие котировки спровоцировали волну ликвидаций. Торговые боты атаковали позиции с обеспечением в cbETH. Они погашали примерно $1 долга и получали взамен 1096,317 cbETH.
Это уничтожило большую часть или все обеспечение в cbETH у многих заемщиков, оставив значительный долг по их позициям. Параллельно некоторые пользователи вносили минимальное обеспечение для займа cbETH по заниженной цене.
«Как только проблему обнаружили, наш риск-менеджер @anthiasxyz оперативно снизил лимит заимствования cbETH до 0,01, чтобы ограничить дальнейшие риски для протокола», — написали представители Moonwell.
Виноват вайб-кодинг?
Аудитор смарт-контрактов Pashov обратил внимание, что коммиты для Moonwell написаны в соавторстве с Claude Opus 4.6.
????Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
— pashov (@pashov) February 17, 2026
cbETH asset's price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude - Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67
«Claude Opus 4.6 написал уязвимый код, что привело ко взлому смарт-контракта с убытком в $1,78 млн.[...] Это первый взлом кода Solidity, написанного с помощью вайб-кодинга?», — отметил он.
Эксперт добавил, что за ИИ стоит человек, который проверяет готовую работу, и, возможно, аудитор по безопасности. По этой причине винить исключительно нейросеть некорректно, хотя инцидент «заставляет задуматься» о вайб-кодинге.
Подобный подход в программировании становится все более массовым, несмотря на растущую критику со стороны специалистов.
Напомним, в феврале исследование выявило 69 уязвимостей в 15 приложениях, созданных с помощью популярных инструментов Cursor, Claude Code, Codex, Replit и Devin.