O oráculo cbETH precificou incorretamente o token em quase US$ 1 em vez de cerca de US$ 2,2 milhões, deixando o conjunto de empréstimos da Moonwell com aproximadamente US$ 1,78 milhão em dívidas inadimplentes e supostamente permitindo que bots e liquidantes drenassem a garantia poucas horas após uma atualização mal configurada baseada em Chainlink usando lógica gerada por IA.
resumo
O oráculo cbETH mal configurado definiu o preço em quase US$ 1 contra cerca de US$ 22.000, causando uma diferença de avaliação de aproximadamente 99% que violou os cálculos colaterais de Moonwell. O liquidante reembolsou aproximadamente US$ 1 por posição e apreendeu mais de 1.096 cbETH, deixando a Moonwell com aproximadamente US$ 1,78 milhão em dívidas inadimplentes em nível de protocolo. As fórmulas falhas e a lógica de escalonamento foram supostamente co-criadas pelo modelo de IA Claude Opus 4.6, destacando os riscos emergentes do DeFi em relação aos oráculos e códigos de preços criados pela IA.
O protocolo de empréstimo financeiro descentralizado Moonwell sofreu uma exploração de US$ 1,78 milhão devido a um bug em seu oráculo de preços que desvalorizou o Coinbase Wrapped ETH (cbETH), de acordo com um relatório da plataforma.
De acordo com a divulgação do protocolo, a vulnerabilidade ocorreu devido à lógica de cálculo oracle supostamente gerada pelo modelo de IA Claude Opus 4.6, que introduziu fatores de escala incorretos nos feeds de preços de ativos. Os invasores tomaram empréstimos contra garantias gravemente subvalorizadas e extraíram fundos antes que o erro fosse detectado e corrigido.
Moonwell perdeu US$ 1,78 milhão devido a um bug de contrato inteligente que foi supostamente introduzido em seu código gerado por IA.
A lógica vulnerável foi gerada por Claude Opus 4.6. Uma falha na fórmula do oráculo fixou o preço do cbETH em US$ 1,12 em vez de US$ 2.200, abrindo a porta para exploração.
Comprometer-se… pic.twitter.com/4xG5AxZWA4
– Antivírus Web3 (@ web3_antivirus) 18 de fevereiro de 2026
A precificação incorreta do cbETH efetivamente reduziu os requisitos de garantia para empréstimos dentro dos pools afetados. A análise técnica do protocolo mostra que, como o sistema de empréstimo depende de rácios de garantia precisos, os preços fraudulentos permitiram que os atacantes extraíssem activos com um valor de garantia mínimo.
Os oráculos de preços representam um importante componente de segurança nos sistemas de empréstimo DeFi. Avaliações incorretas de ativos podem resultar em empréstimos sem garantia e em falhas de liquidação. De acordo com relatórios de segurança do setor, muitas das principais explorações de DeFi envolveram historicamente manipulação de oráculos ou erros de preços, em vez de falhas de protocolo central.
O incidente de Moonwell difere das explorações tradicionais do oráculo porque a lógica falha parece estar relacionada à geração automatizada de código de IA, em vez de feeds maliciosos de dados do oráculo, de acordo com pesquisas preliminares sobre o protocolo.
Esta exploração destaca os riscos associados ao desenvolvimento de contratos inteligentes assistidos por IA em aplicações financeiras. Os modelos de linguagem podem acelerar os fluxos de trabalho de codificação, mas os protocolos financeiros exigem precisão numérica precisa, manuseio de unidades e validação de casos extremos, de acordo com especialistas em segurança de blockchain.
Nos sistemas DeFi, pequenos erros de cálculo ou de escala podem levar a vulnerabilidades sistêmicas que afetam a avaliação e a solvência das garantias. Pesquisadores de segurança dizem que o incidente levanta questões sobre se os componentes do contrato gerados por IA exigem padrões de auditoria mais rigorosos do que o código escrito manualmente.
O desenvolvimento assistido por IA é cada vez mais usado em fluxos de trabalho de engenharia Web3, desde modelos de contrato até lógica de integração. Observadores da indústria dizem que os modelos de segurança e as estruturas de auditoria ainda não se adaptaram totalmente ao código contratual gerado pela IA.
As implicações mais amplas concentram-se em como os erros de geração automática de código na lógica financeira representam uma nova categoria de risco DeFi. A análise técnica do incidente mostra que a matemática, os fatores de escala e as conversões de unidades da Oracle continuam sendo áreas de alta precisão, onde as falhas de automação podem se propagar para vulnerabilidades no nível do protocolo.
À medida que o desenvolvimento de contratos inteligentes baseados em IA se expande, os métodos de auditoria provavelmente precisarão evoluir para verificar não apenas a exatidão do código, mas também sua procedência e imutabilidade numérica, de acordo com empresas de segurança blockchain.
