Le logiciel Claude Opus 4.6 d'Anthropic est mis en cause dans la perte de 1,78 million de dollars subie par Moonwell suite à une faille de sécurité dans lestracintelligents

Le protocole de prêt DeFi Moonwell a perdu 1,78 million de dollars suite à une erreur de tarification d'oracle, décrite comme l'une des premières failles majeures directement liées à du code Solidity généré par IA. L'erreur proviendrait d'une portion de code partiellement écrite par le modèle Claude Opus 4.6 d'Anthropic.

Moonwell, une plateforme de prêt décentralisée fonctionnant sur Base et Optimism, a déclaré avoir découvert un problème critique de configuration d'oracle affectant son marché principal Coinbase Wrapped Ether (cbETH) sur Base.

Cela a eu pour conséquence que le cbETH a été évalué à environ 1,12 $ par jeton au lieu de son prix de marché réel proche de 2 200 $, ce qui représente une sous-évaluation de 2 000 fois et a déclenché des liquidations instantanées.

🚨Claude Opus 4.6 a écrit du code vulnérable, ce qui a permis une exploitation detracde sécurité des contrats intelligents et une perte de 1,78 million de dollars

Le prix de l'actif cbETH a été fixé à 1,12 $ au lieu d'environ 2 200 $. Les PR du projet indiquent que Claude a co-écrit les commits – S'agit-il du premier hack de vibecode Solidity codé avec pic.twitter.com/4p78ZZvd67

— pashov (@pashov) 17 février 2026

Claude a co-écrit le code fixant le prix du cbETH à 1,12 $ au lieu de $2,200

La vulnérabilité est apparue le 15 février, juste après que Moonwell ait activé la proposition de gouvernance MIP-X43, qui intégrait lestracwrapper Oracle ExtratracValue (OEV) de Chainlinksur les marchés Base et Optimism.

Ainsi, au lieu de calculer le prix du cbETH en USD en multipliant le taux de change cbETH/ETH par le flux de prix ETH/USD, le code déployé a uniquement obtenu le taux de change cbETH/ETH et a traité ce ratio comme s'il était déjà libellé en dollars.

Avec le cbETH négocié à des prix inférieurs en raison de l'oracle de Moonwell, les liquidateurs pourraient rembourser environ 1 $ de dettes et obtenir en retour des garanties d'une valeur de plusieurs milliers de dollars.

de Moonwell Le responsable de la gestion des risques a pu réduire le plafond d'emprunt de cbETH à 0,01 quelques heures après la découverte de la vulnérabilité, gelant ainsi efficacement toute nouvelle activité d'emprunt et limitant les dégâts.

Cependant, les liquidations avaient déjà été traitées, laissant les utilisateurs avec des pertes catastrophiques.

Le protocole a également estimé les pertes totales à 1,78 million de dollars, affectant principalement les positions en cbETH, WETH et USDC. Certains emprunteurs ont quasiment perdu la totalité de leurs garanties, tandis que d'autres ont profité d'une tarification erronée pour emprunter des sommes supérieures à celles autorisées, créant ainsi une dette supplémentaire au sein du protocole.

Bithumb a subiuneerreur d'affectation de valeur similaire quelques jours auparavant

L' de Moonwelldent est très similaire à une erreur commise quelques jours plus tôt, le 6 février, à la bourse sud-coréenne Bithumb, où une attribution d'unités erronée a créé des dizaines de milliards de dollars de valeur fantôme.

Apparemment, un membre du personnel de Bithumb a saisi « BTC » au lieu de « KRW » lors de la distribution des récompenses pour une promotion Random Box, récompensant ainsi les utilisateurs en Bitcoin au lieu de wons coréens.

Le projet a perdu environ 620 000 Bitcoin soit plus de 40 milliards de dollars (près de 3 % de Bitcoinl'offre mondiale totale de

Le débat sur le codage Vibe s'intensifie

L'incident de Moonwelldent relancé le débat sur vibe la programmation. Ses partisans affirment qu'elle rend la programmation plus accessible, tandis que ses détracteurs mettent en garde contre les vulnérabilités que son code pourrait contenir et qui échapperaient probablement à une relecture humaine.

intelligentstrac, a souligné que « derrière l'IA se cache une personne qui vérifie le travail final, et éventuellement un auditeur. C'est pourquoi il est incorrect de blâmer uniquement le réseau neuronal, même si l'incidentdent des inquiétudes quant au vibe . »

Une autre entreprise spécialisée dans la sécurité blockchain, SlowMist, a partagé ses inquiétudes concernant une « vulnérabilité de la formule de l'oracle » et la défaillance du contrôle humain qui a permis au code défectueux d'être mis en production.

Une étude publiée quelques semaines seulement avant l'incident de Moonwelldentdentdent dentdentdentdent dentdent, vulnérabilités dans 15 applications créées à l'aide d'outils de codage IA populaires, notamment Cursor, Claude Code, Codes etc.

Plus intéressant encore, une étude menée par Anthropic en décembre 2025 a révélé que Claude Opus 4.5 pouvait exploitertracà lui seul des failles de sécurité dans les contrats intelligents d'une valeur de 4,6 millions de dollars en simulé environnement Cette étude a également établi que les modèles d'IA de pointe peuvent désormais « identifierdentdentdentdentdentdentdentdentdenttractractractractractractractracla valeur avec une supervision humaine minimale ».

Néanmoins, Moonwell a précisé qu ’« aucun autre marché sur Base ou OP Mainnet n’a été affecté. Le problème est isolé au marché principal cbETH sur Base. »

Le protocole a également noté qu'il ne s'agissait pas de son premier oracle incident, rappelant un rapport erroné incident en novembre 2025.