Сгенерированный Claude код стал причиной взлома протокола Moonwell почти на $2 млн

• Moonwell потерял $1,78 млн из-за неверной формулы в конфигурации ценового оракула.
• Ошибка занизила цену cbETH до $1,12 вместо $2200 и спровоцировала волну ликвидаций.
• Аудитор под ником Pashov связал инцидент с вайб-кодингом и использованием Claude Opus 4.6 при написании коммитов.

Протокол кредитования Moonwell столкнулся с атакой, в результате которой проект лишился $1,78 млн. Инцидент произошел 15 февраля 2026 года после активации предложения MIP-X43, разрешившего использование контрактов Chainlink OEV на рынках Base и Optimism.

По мнению экспертов, ключевой проблемой стала некорректная настройка оракула, отвечающего за оценку стоимости Coinbase Wrapped ETH (cbETH). Из-за ошибки протокол начал получать неверные ценовые данные, что открыло путь для эксплуатации.

Вместо корректного расчета через cbETH/ETH и ETH/USD система фактически использовала лишь соотношение токенов, не «домножив» его на долларовую цену Ethereum. В итоге оракул показывал стоимость cbETH около $1,12, хотя рыночная цена актива была на уровне $2200.

Заниженная котировка мгновенно запустила каскад ликвидаций, поскольку боты начали закрывать позиции, обеспеченные cbETH.

Они погашали незначительный долг и получали непропорционально большой объем залога. В отдельных случаях речь шла о том, что за примерно $1 долга атакующие забирали более тысячи cbETH, что «выжигало» обеспечение заемщиков и оставляло их позиции с остаточной задолженностью.

Команда Moonwell заявила, что после обнаружения проблемы риск-менеджер оперативно снизил лимит заимствования cbETH до 0,01. Это позволило ограничить дальнейшие потери и остановить распространение атаки.

При чем тут вайб-кодинг?

Аудитор