Le protocole de prêt DeFi Moonwell a perdu 1,78 million de dollars suite à une erreur de tarification d'oracle, décrite comme l'une des premières failles majeures directement liées à du code Solidity généré par IA. L'erreur proviendrait d'une portion de code partiellement écrite par le modèle Claude Opus 4.6 d'Anthropic.
Moonwell, une plateforme de prêt décentralisée fonctionnant sur Base et Optimism, a déclaré avoir découvert un problème critique de configuration d'oracle affectant son marché principal Coinbase Wrapped Ether (cbETH) sur Base.
Cela a eu pour conséquence que le cbETH a été évalué à environ 1,12 $ par jeton au lieu de son prix de marché réel proche de 2 200 $, ce qui représente une sous-évaluation de 2 000 fois et a déclenché des liquidations instantanées.
🚨Claude Opus 4.6 a écrit du code vulnérable, ce qui a permis une exploitation detracde sécurité des contrats intelligents et une perte de 1,78 million de dollars
Le prix de l'actif cbETH a été fixé à 1,12 $ au lieu d'environ 2 200 $. Les PR du projet indiquent que Claude a co-écrit les commits – S'agit-il du premier hack de code Solidity codé avec vibe pic.twitter.com/4p78ZZvd67
— pashov (@pashov) 17 février 2026
La vulnérabilité est apparue le 15 février, juste après que Moonwell ait activé la proposition de gouvernance MIP-X43, qui intégrait lestracwrapper Oracle ExtratracValue (OEV) de Chainlinksur les marchés Base et Optimism.
Ainsi, au lieu de calculer le prix du cbETH en USD en multipliant le taux de change cbETH/ETH par le flux de prix ETH/USD, le code déployé a uniquement obtenu le taux de change cbETH/ETH et a traité ce ratio comme s'il était déjà libellé en dollars.
Avec le cbETH négocié à des prix inférieurs en raison de l'oracle de Moonwell, les liquidateurs pourraient rembourser environ 1 $ de dettes et obtenir en retour des garanties d'une valeur de plusieurs milliers de dollars.
Le responsable de la gestion des risques de Moonwell a pu réduire le plafond d'emprunt de cbETH à 0,01 quelques heures après la découverte de la vulnérabilité, gelant ainsi efficacement toute nouvelle activité d'emprunt et limitant les dégâts.
Cependant, les liquidations avaient déjà été traitées, laissant les utilisateurs avec des pertes catastrophiques.
Le protocole a également estimé les pertes totales à 1,78 million de dollars, affectant principalement les positions en cbETH, WETH et USDC. Certains emprunteurs ont quasiment perdu la totalité de leurs garanties, tandis que d'autres ont profité d'une tarification erronée pour emprunter des sommes supérieures à celles autorisées, créant ainsi une dette supplémentaire au sein du protocole.
Bithumb a subi une erreur d'affectation de valeur similaire quelques jours auparavant
L' dent de Moonwell est très similaire à une erreur commise quelques jours plus tôt, le 6 février, à la bourse sud-coréenne Bithumb, où une attribution d'unités erronée a créé des dizaines de milliards de dollars de valeur fantôme.
Apparemment, un membre du personnel de Bithumb a saisi « BTC » au lieu de « KRW » lors de la distribution des récompenses pour une promotion Random Box, récompensant ainsi les utilisateurs en Bitcoin au lieu de wons coréens.
Le projet a perdu environ 620 000 Bitcoin d'une valeur de plus de 40 milliards de dollars (près de 3 % de l'offre mondiale totale de Bitcoin
Le débat sur le codage Vibe s'intensifie
L'incident de Moonwell dent relancé le débat sur la programmation vibe . Ses partisans affirment qu'elle rend la programmation plus accessible, tandis que ses détracteurs mettent en garde contre les vulnérabilités que son code pourrait contenir et qui échapperaient probablement à une relecture humaine.
trac intelligents , a souligné que « derrière l'IA se cache une personne qui vérifie le travail final, et éventuellement un auditeur. C'est pourquoi il est incorrect de blâmer uniquement le réseau neuronal, même si l'incident dent des inquiétudes quant à l' vibe codage."
Une autre entreprise spécialisée dans la sécurité blockchain, SlowMist, a partagé ses inquiétudes concernant une « vulnérabilité de la formule de l'oracle » et la défaillance du contrôle humain qui a permis au code défectueux d'être mis en production.
Une étude publiée quelques semaines seulement avant l'incident de Moonwell dent identifié dent vulnérabilités dans 15 applications créées à l'aide d'outils de codage IA populaires, notamment Cursor, Claude Code, Codes , etc.
Plus intéressant encore, une étude menée par Anthropic en décembre 2025 a révélé que Claude Opus 4.5 pouvait exploiter à lui seul des failles de sécurité dans les contrats intelligents d'une valeur de 4,6 millions de dollars trac en environnement simulé Cette étude a également établi que les modèles d'IA de pointe peuvent désormais « identifier dent manière dent les vulnérabilités, créer des chaînes d'exploitation fonctionnelles et en extraire trac la valeur avec une supervision humaine minimale ».
Néanmoins, Moonwell a précisé qu ’« aucun autre marché sur Base ou OP Mainnet n’a été affecté. Le problème est isolé au marché principal cbETH sur Base. »
Le protocole a également noté qu'il ne s'agissait pas de son premier oracle incident, rappelant un rapport erroné incident en novembre 2025.
