ETHMoonwell是一个部署在Base和Optimism网络上的去中心化金融(DeFi)借贷协议,因Coinbase Wrapped Staked ETH(cbETH)的价格预言机返回了约1.12美元的价值(而非约2200美元)而遭到利用,造成了定价错误,攻击者借此获利约178万美元。
Moonwell在一份事故剖析报告中表示,周日执行的一项治理提案仅使用了cbETH/ETH汇率,错误配置了cbETH预言机,导致系统报告cbETH价格约为1.12美元。该协议称,清算机器人和机会主义的借款人利用了这次错误定价,产生了约178万美元的坏账。
受影响合约的拉取请求显示,其中多个提交由Anthropic的Claude Opus 4.6共同撰写,这促使安全审计员Pashov公开将此事件标记为人工智能编写或AI辅助Solidity代码引发问题的案例。
他在接受采访时谈及此事时表示,他将此案例与Claude联系起来,是因为拉取请求中有多个提交由Claude共同撰写,这意味着“开发者使用Claude来编写代码,而这导致了漏洞。”不过,Pashov告诫不要将此缺陷视为纯粹由AI驱动。他将此次预言机问题描述为“即使是资深的Solidity开发人员也可能犯”的那种错误,并指出真正的问题是缺乏足够严格的检查和端到端的验证。
起初,他表示他认为根本没有经过测试或审计,但后来承认团队表示在另一个拉取请求中进行了单元测试和集成测试,并委托Halborn进行了审计。
在他看来,这种错误定价“本可以通过集成测试发现,一个与区块链集成的、恰当的测试”,但他拒绝直接批评其他安全公司。
损失虽小,治理问题重大
与DeFi领域一些最严重的事件相比,此次利用的金额规模较小。然而,Moonwell事件之所以引人注目,在于其混合了AI共同撰写代码、主要资产出现看似基础的价格配置故障、以及已有的审计和测试未能发现该问题等因素。
Pashov表示,他自己的公司不会从根本上改变其流程,但如果代码看起来是“氛围编码”的产物,他的团队会“更加睁大眼睛”,并预期会发现更多低垂易摘的问题,尽管这个特定的预言机漏洞“并非那么容易”发现。
“氛围编码”与规范化的AI使用
去中心化身份基础设施提供商cheqd的联合创始人兼首席执行官Fraser Edwards表示,围绕氛围编码的争论掩盖了关于AI使用方式的“两种截然不同的解读”。
一方面,是非技术创始人提示AI生成他们自己无法独立审查的代码;另一方面,是经验丰富的开发者在成熟的工程流程中使用AI来加速重构、模式探索和测试。
他指出,AI辅助开发“可能很有价值,尤其是在最小可行产品阶段”,但“不应被视为通往生产就绪基础设施的捷径”,尤其是在DeFi这样的资本密集型系统中。
Edwards认为,所有AI生成的智能合约代码都应被视为不可信的输入,需要经过严格的版本控制、清晰的代码所有权、多人同行评审以及高级测试,特别是在访问控制、预言机和定价逻辑、升级机制等高风险领域。
“归根结底,负责任的AI集成取决于治理和规范,”他表示,这包括明确的审查关卡、代码生成与验证的分离,以及一个假设:部署在对抗性环境中的任何合约都可能包含潜在风险。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注