Zdecentralizowane finanse (DeFi) były świadkiem jednego z najbardziej niezwykłych incydentów cybernetycznych po tym, jak błąd programowania wygenerowany przez AI ujawnił poważną lukę. Najnowsze naruszenie dotknęło protokół Moonwell, gdzie wadliwa formuła orakla cenowego napisana przez model Claude Opus 4.6 doprowadziła do strat w wysokości około 1,78 miliona dolarów. Eksperci określają to obecnie jako pierwszą poważną ofiarę tzw. „vibe-codingu”—trendu szybkiego, napędzanego przez AI rozwoju oprogramowania—co stawia sektor DeFi na rozdrożu innowacyjności i integralności.
Błąd obliczenia ceny przez Claude Opus sieje spustoszenie
Analityk ds. bezpieczeństwa branżowego Pashov ujawnił problem, wyraźnie podkreślając ryzyka, jakie sztuczna inteligencja wprowadza do procesów rozwoju oprogramowania. W centrum naruszenia znalazł się błąd w oraklu cenowym Moonwell: wartość cbETH, kluczowego aktywa, została całkowicie oderwana od rynkowej rzeczywistości. Zazwyczaj notowana w okolicach 2 200 dolarów, cbETH została błędnie wyceniona na jedynie 1,12 dolara przez wadliwy kod napisany przez Claude Opus 4.6. Skutkiem tego był prawdziwy raj dla atakujących i szybka kaskada strat.
Dogłębna analiza źródła błędu ujawniła poważniejszy problem—błąd w matematycznej formule wpisany w kluczową logikę smart contractu. Według Cos, założyciela SlowMist, to podstawowe niedopatrzenie w kanale cenowym utorowało drogę atakującym do wykorzystania systemowych nierówności. Incydent ten stanowi wyraźny dowód na to, że nawet najbardziej złożone systemy DeFi mogą zostać zniszczone przez pomyłki AI, co podkreśla ich niepewną naturę.
Bliższa analiza repozytorium GitHub Moonwell oraz zgłoszeń pull request nie pozostawiła wątpliwości: wadliwy kod był współtworzony przez model Claude wraz z deweloperami. Nadmierna ufność w kodowanie wspomagane przez AI zaciemniła kluczowe procesy audytowe, przekształcając platformy o miliardowych wolumenach w główne cele cyberprzestępców. Ten incydent jest przestrogą dla wszystkich zespołów integrujących generatywną AI w aplikacjach krytycznych dla działania.
Ryzyka AI i potrzeba nadzoru ze strony deweloperów
Interesariusze branżowi określają to wydarzenie jako pierwszy poważny atak ery „vibe-codingu”. Pogoni za szybkością, która doprowadziła do powierzenia istotnej części rozwoju modelom takim jak Claude bez odpowiedniego ręcznego przeglądu czy solidnych kontroli bezpieczeństwa, ujawniła krytyczną lukę. Atak na Moonwell przyniósł nie tylko straty finansowe; pozostawił także pytania dotyczące wiarygodności nowych modeli produkcji kodu, które obecnie pojawiają się w całej branży technologicznej.
Specjaliści ds. bezpieczeństwa tacy jak Pashov i Cos ostrzegają, że łatwość użycia autonomicznych systemów do tworzenia smart contractów wiąże się z nieprzewidywalnymi, a czasem katastrofalnymi, błędami matematycznymi. Wystarczyła niewłaściwie postawiona kropka dziesiętna lub błędny mnożnik w procesie wyceny, by w kilka sekund zniknęły miliony dolarów. Ten epizod wyraźnie pokazuje, że AI, mimo obietnic, pozostaje zbyt „niedojrzała”, by samodzielnie odpowiadać za infrastrukturę finansową o wysokiej stawce.
W następstwie tego incydentu lekcja jest jednoznaczna: „nadzór skupiony na człowieku” pozostaje kluczowy. Bez względu na to, jak zaawansowane staną się modele generatywne, skrupulatny przegląd dokonany przez profesjonalnych audytorów to wciąż najpewniejsze zabezpieczenie w DeFi, gdzie nie ma miejsca na błąd. Naruszenie Moonwell już zapisało się jako jeden z najdroższych przykładów „halucynacji” AI podczas rozwoju—ze skutkami finansowymi w prawdziwym świecie, które na długo zostaną zapamiętane.
