Moonwell, протокол кредитування децентралізованих фінансів (DeFi), застосований на Base та Optimism, був використаний для отримання приблизно 1,78 мільйона доларів після того, як оракул про ціноутворення для Coinbase Wrapped Staked ETH (cbETH) повернув значення приблизно 1,12 долара замість приблизно 2200 доларів, створивши різке недооцінювання, яке зловмисники змогли використати для отримання прибутку.
Запити на вилучення для постраждалих контрактів показують численні коміти, співавторами яких є Claude Opus 4.6 з Anthropic, що спонукало аудитора безпеки Пашова публічно позначити інцидент як приклад зворотного ефекту Solidity, написаного штучним інтелектом або за допомогою ШІ.
Говорячи Cointelegraph про інцидент, він сказав, що пов’язав цей випадок із Клодом, оскільки в запитах на отримання було багато комітів, співавтором яких був Клод, тобто «розробник використовував Клода для написання коду, і це призвело до вразливості».
Пашов, однак, застеріг від розгляду недоліку як винятково керованого ШІ. Він описав проблему оракула як помилку, яку «міг зробити навіть старший розробник Solidity», стверджуючи, що справжня проблема полягає у відсутності достатньо суворих перевірок і наскрізної перевірки.
Спочатку він сказав, що, на його думку, взагалі не було жодного тестування чи аудиту, але пізніше визнав, що команда заявила, що провела модульні та інтеграційні тести в окремому запиті на отримання, і замовила аудит Халборну.
На його думку, неправильне встановлення цін «можна було виявити за допомогою інтеграційного тесту, правильного, інтеграції з блокчейном», але він відмовився критикувати інші охоронні фірми безпосередньо.
Маленькі втрати, великі питання управління
Сума експлойту в доларах є невеликою порівняно з деякими з найбільших інцидентів DeFi, такими як експлойт Ronin bridge у березні 2022 року, де зловмисники вкрали понад 600 мільйонів доларів, або рядки інших дев’ятизначних хакерів мостів і протоколів кредитування.
Що робить Moonwell помітним, так це поєднання співавторства ШІ, здавалося б, базової помилки конфігурації ціни на великий актив, а також існуючих аудитів і тестів, які все ще не змогли це виявити.
Пашов сказав, що його власна фірма принципово не змінюватиме свій процес, але якщо код виглядатиме «закодованим настроєм», його команда «розплющить очі» та очікує більшої щільності низьких проблем, хоча цю конкретну помилку оракула «було не так легко» помітити.
«Кодування Vibe» проти дисциплінованого використання ШІ
Фрейзер Едвардс, співзасновник і генеральний директор cheqd, постачальника інфраструктури децентралізованої ідентифікації, сказав Cointelegraph, що дебати навколо кодування Vibe маскують «дві дуже різні інтерпретації» того, як використовується ШІ.
З одного боку, за його словами, нетехнічні засновники спонукають штучний інтелект генерувати код, який вони не можуть перевірити самостійно;з іншого — досвідчені розробники, які використовують штучний інтелект для прискорення рефакторів, дослідження шаблонів і тестування в рамках зрілого інженерного процесу.
Розробка за допомогою штучного інтелекту «може бути цінною, особливо на етапі MVP [мінімально життєздатного продукту]», зазначив він, але «не слід розглядати її як короткий шлях до інфраструктури, готової до виробництва», особливо в капіталомістких системах, таких як DeFi.
Едвардс стверджував, що весь створений штучним інтелектом код смарт-контракту слід розглядати як ненадійний вхід, підлягаючи суворому контролю версій, чіткому праву власності на код, експертній оцінці кількома особами та розширеному тестуванню, особливо в областях високого ризику, таких як контроль доступу, оракул і логіка ціноутворення, а також механізми оновлення.
«Зрештою, відповідальна інтеграція штучного інтелекту зводиться до управління та дисципліни», — сказав він, з чіткими воротами перевірки, поділом між генерацією коду та перевіркою та припущенням, що будь-який контракт, розгорнутий у конкурентному середовищі, може містити прихований ризик.
