Moonwell, протокол кредитования децентрализованного финансирования (DeFi), развернутый на Base и Optimism, был использован примерно на 1,78 миллиона долларов после того, как оракул по ценообразованию Coinbase Wrapped Staked ETH (cbETH) вернул значение около 1,12 доллара вместо примерно 2200 долларов, что привело к резкому искажению цен, которое злоумышленники смогли использовать для получения прибыли.
Запросы на включение затронутых контрактов показывают многочисленные коммиты, соавтором которых является Клод Опус 4.6 из Anthropic, что побудило аудитора безопасности Пашова публично отметить инцидент как пример обратного результата Solidity, написанного искусственным интеллектом или с помощью ИИ.
Говоря с Cointelegraph об инциденте, он сказал, что связал дело с Клодом, потому что в запросах на включение, соавтором которых был Клод, было несколько коммитов, а это означает, что «разработчик использовал Клода для написания кода, и это привело к уязвимости».
Однако Пашов предостерег от того, чтобы рассматривать эту ошибку как исключительно связанную с искусственным интеллектом. Он описал проблему с оракулом как ошибку, которую «может совершить даже старший разработчик Solidity», утверждая, что настоящая проблема заключалась в отсутствии достаточно строгих проверок и сквозной проверки.
Первоначально он сказал, что, по его мнению, никакого тестирования или аудита вообще не проводилось, но позже признал, что команда заявила, что модульные и интеграционные тесты были выделены в отдельный запрос на включение, и заказала аудит Халборну.
По его мнению, неправильное ценообразование «можно было выявить с помощью интеграционного теста, правильного, интеграции с блокчейном», но он отказался напрямую критиковать другие охранные фирмы.
Небольшие потери, большие вопросы управления
Сумма эксплойта в долларах невелика по сравнению с некоторыми крупнейшими инцидентами DeFi, такими как эксплойт моста Ронина в марте 2022 года, когда злоумышленники украли более 600 миллионов долларов, или ряд других взломов девятизначных мостов и протоколов кредитования.
Что делает Moonwell примечательным, так это сочетание соавторства ИИ, кажущейся базовой ошибки в конфигурации цен на крупный актив, а также существующих аудитов и тестов, которые до сих пор не смогли ее выявить.
Пашов сказал, что его собственная фирма не будет фундаментально менять свой процесс, но если код окажется «закодированным», его команда «будет иметь немного более широко открытые глаза» и будет ожидать более высокой плотности нерешенных проблем, даже несмотря на то, что эту конкретную ошибку оракула «было не так легко» обнаружить.
«Кодирование Vibe» против дисциплинированного использования ИИ
Фрейзер Эдвардс, соучредитель и генеральный директор cheqd, поставщика децентрализованной инфраструктуры идентификации, рассказал Cointelegraph, что дебаты вокруг кодирования вибрации маскируют «две совершенно разные интерпретации» того, как используется ИИ.
С одной стороны, по его словам, основатели, не являющиеся техническими специалистами, побуждают ИИ генерировать код, который они не могут самостоятельно просмотреть;с другой стороны, опытные разработчики, использующие ИИ для ускорения рефакторинга, исследования шаблонов и тестирования в рамках зрелого процесса проектирования.
Разработка с помощью ИИ «может быть ценной, особенно на этапе MVP [минимально жизнеспособного продукта]», отметил он, но «не должна рассматриваться как кратчайший путь к готовой к производству инфраструктуре», особенно в капиталоемких системах, таких как DeFi.
Эдвардс утверждал, что весь код смарт-контрактов, созданный ИИ, следует рассматривать как ненадежный ввод, подлежащий строгому контролю версий, четкому владению кодом, экспертной оценке несколькими людьми и расширенному тестированию, особенно в областях высокого риска, таких как контроль доступа, логика оракула и ценообразования, а также механизмы обновления.
«В конечном счете, ответственная интеграция ИИ сводится к управлению и дисциплине», — сказал он, имея четкие границы проверки, разделение между генерацией кода и проверкой, а также предположение, что любой контракт, развернутый в состязательной среде, может содержать скрытый риск.
