Сбой оракула Moonwell привел к убыткам в $1,8 млн

В протоколе децентрализованного кредитования Moonwell произошел сбой, из-за которого образовалась задолженность на сумму около $1,8 млн. Причиной стало обновление системы, которое привело к тому, что стоимость токена Coinbase Wrapped ETH (cbETH) на платформе упала до уровня в $1 вместо примерно $2 200. Ошибка возникла из-за того, что оракул Chainlink, оценивая стоимость cbETH, опирался только на его соотношение с ETH (около 1,12), игнорируя реальную цену эфира в долларах США. В результате протокол определил стоимость cbETH примерно в $1,12 согласно сводке об инциденте. Проблема возникла после активации новых конфигураций оракула Chainlink на рынках Moonwell в сетях Base и Optimism. Оракулы предоставляют данные в реальном времени перед их добавлением в блокчейн. В протоколах кредитования, таких как Moonwell, пользователи используют активы (например, cbETH) в качестве залога для получения долгов. Если стоимость залога падает ниже установленного порога, позиции автоматически ликвидируются: боты погашают долг и забирают залог со скидкой. Когда стоимость cbETH упала с более чем $2 000 до чуть более $1, боты по ликвидации сработали оперативно. Протокол считал токен практически бесполезным, поэтому ликвидаторы смогли погасить около $1 долга, чтобы получить один cbETH. Согласно данным риск‑менеджера Anthias Labs, было изъято 1 096,317 cbETH (на $2,44 млн). Это уничтожило залог заемщиков, а протокол остался с безнадежной задолженностью на нескольких рынках. Небольшая группа пользователей смогла внести минимальный залог и взять в долг cbETH по искусственно заниженной стоимости, что еще больше увеличило убытки. Moonwell в течение нескольких минут сократил лимиты по предложению и займам, чтобы ограничить ущерб. Для исправления работы оракула требовалось голосование по управлению и пятидневная задержка, что препятствовало оперативной ликвидации проблемы. Этот инцидент подчеркнул важность ценовых оракулов как базовой инфраструктуры и уязвимого места в приложениях DeFi. Аудитор по безопасности Крум Пашанов отметил, что коммиты на GitHub, связанные с предложением, были подготовлены с использованием ИИ‑помощника Claude Opus 4.6. Это вызвало дискуссии о возможном влиянии автоматизированного кода на ошибочную логику оракула.