Vibe Coding via Claude Opus Leads to Moonwell DeFi Project Breach | ForkLog
Moonwell 之所以因为 “vibe coding(凭感觉写代码)” 损失 178 万美元,核心原因是 AI Agent写出的智能合约代码出现了致命的错误,导致攻击者利用价格错配套利。
Moonwell 是一个 DeFi 借贷协议。它使用预言机 (oracle) 来获取资产价格。
在一次治理提案更新中,预言机把 Coinbase Wrapped Staked ETH(cbETH) 的价格设成了:
-
$1.12 美元(错误)
-
实际市场价格约 $2,200 美元(正确)
这个 99.9% 的定价错误 让攻击者可以:
-
用极低价格抵押 cbETH
-
借出大量资产
-
造成协议 178 万美元损失
多家安全研究者指出,这段导致错误的代码是由 Claude Opus 4.6(Anthropic 的 AI)共同编写。 AI 写出的代码:
-
表面上看逻辑合理
-
单元测试也通过
-
但缺少关键的价格乘法逻辑(没有把 cbETH/ETH 汇率乘以 ETH 市价)
这类代码被称为 “vibe-coded”:
错误的核心是:
-
预言机只读取了 cbETH/ETH 的兑换比例
-
却 没有乘上 ETH 的美元价格
-
导致价值从 $2,200 → $1.12
这让系统认为 cbETH 几乎一文不值,引发:
-
大规模清算
-
攻击者套利
-
协议坏账约 178 万美元
虽然 178 万美元在 DeFi 大型黑客事件中不算最大,但它引发了行业巨大争议,因为:
-
这是 AI 共同编写的智能合约
-
代码通过了审查与测试
-
但仍然出现了基础逻辑错误
-
说明 AI 生成代码可能“看起来正确但逻辑不严谨”
这让整个行业开始重新审视:
-
AI 是否能安全参与智能合约开发?
-
审计流程是否需要专门针对 AI 代码?
-
治理提案是否需要更严格的测试?
