Vibe Coding via Claude Opus Leads to Moonwell DeFi Project Breach | ForkLog
Moonwell 之所以因為 “vibe coding(憑感覺寫代碼)” 損失 178 萬美元,核心原因是 AI Agent寫出的智能合約代碼出現了致命的錯誤,導致攻擊者利用價格錯配套利。
Moonwell 是一個 DeFi 借貸協議。它使用預言機 (oracle) 來獲取資產價格。
在一次治理提案更新中,預言機把 Coinbase Wrapped Staked ETH(cbETH) 的價格設成了:
-
$1.12 美元(錯誤)
-
實際市場價格約 $2,200 美元(正確)
這個 99.9% 的定價錯誤 讓攻擊者可以:
-
用極低價格抵押 cbETH
-
借出大量資產
-
造成協議 178 萬美元損失
多家安全研究者指出,這段導致錯誤的代碼是由 Claude Opus 4.6(Anthropic 的 AI)共同編寫。 AI 寫出的代碼:
-
表麵上看邏輯合理
-
單元測試也通過
-
但缺少關鍵的價格乘法邏輯(沒有把 cbETH/ETH 匯率乘以 ETH 市價)
這類代碼被稱為 “vibe-coded”:
錯誤的核心是:
-
預言機隻讀取了 cbETH/ETH 的兌換比例
-
卻 沒有乘上 ETH 的美元價格
-
導致價值從 $2,200 → $1.12
這讓係統認為 cbETH 幾乎一文不值,引發:
-
大規模清算
-
攻擊者套利
-
協議壞賬約 178 萬美元
雖然 178 萬美元在 DeFi 大型黑客事件中不算最大,但它引發了行業巨大爭議,因為:
-
這是 AI 共同編寫的智能合約
-
代碼通過了審查與測試
-
但仍然出現了基礎邏輯錯誤
-
說明 AI 生成代碼可能“看起來正確但邏輯不嚴謹”
這讓整個行業開始重新審視:
-
AI 是否能安全參與智能合約開發?
-
審計流程是否需要專門針對 AI 代碼?
-
治理提案是否需要更嚴格的測試?
