Кредитний протокол Moonwell втратив $1,78 мільйона через збій у конфігурації оракула. Аудитор смарт-контрактів Pashov асоціював цей інцидент з вайб-кодуванням із застосуванням Claude Opus 4.6.
Несправність трапилася 15 лютого після активації пропозиції MIP-X43 ДАО Moonwell. Вона надала можливість укладати контракти із використанням Chainlink OEV на платформах Base та Optimism.
Технічний недолік
Один з оракулів виявився невірно налаштованим. Він невірно обчислював доларову вартість Coinbase Wrapped ETH.
Замість множення курсу cbETH/ETH на вартість ETH/USD система передавала лише відношення токенів один до одного. У підсумку оракул показував вартість cbETH близько $1,12 замість ~$2200.
Вплив на користувачів
Нетипово низькі котирування спричинили лавину ліквідацій. Торговельні боти атакували позиції із забезпеченням у cbETH. Вони погашали приблизно $1 боргу та одержували натомість 1096,317 cbETH.
Це звело нанівець велику частину або весь обсяг забезпечення в cbETH у багатьох позичальників, залишивши значний борг за їхніми позиціями. Одночасно деякі користувачі вносили мінімальне забезпечення для позики cbETH за заниженою вартістю.
«Як тільки проблему було виявлено, наш ризик-менеджер @anthiasxyz швидко знизив ліміт запозичення cbETH до 0,01, аби обмежити подальші ризики для протоколу», — заявили представники Moonwell.
Чи винне вайб-кодування?
Аудитор смарт-контрактів Pashov звернув увагу, що коміти для Moonwell виконані у співавторстві з Claude Opus 4.6.
🚨Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
cbETH asset’s price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude — Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67
— pashov (@pashov) February 17, 2026
«Claude Opus 4.6 написав вразливий код, що призвело до експлойту смарт-контракту зі збитками у $1,78 млн.[…] Чи це перший випадок злому Solidity-коду, написаного за допомогою вайб-кодингу?», — відзначив він.
Експерт додав, що за ШІ стоїть людина, яка перевіряє виконану роботу, і, можливо, фахівець з безпеки. З цієї причини звинувачувати виключно нейромережу некоректно, хоча інцидент «змушує задуматись» про вайб-кодування.
Подібний підхід у розробці стає все більш поширеним, незважаючи на зростаючу критику з боку професіоналів.
Слід зазначити, що у лютому дослідження виявило 69 слабких місць у 15 програмах, створених з використанням популярних інструментів Cursor, Claude Code, Codex, Replit та Devin.