Il protocollo di prestito DeFi Moonwell ha perso 1,78 milioni di dollari a seguito di un errore di prezzo dell'oracolo in quello che viene descritto come uno dei primi grandi exploit direttamente collegati al codice Solidity generato dall'intelligenza artificiale. A quanto pare, l'errore è stato causato da codice parzialmente scritto dal modello Claude Opus 4.6 di Anthropic.
Moonwell, un mercato di prestiti decentralizzato che opera su Base e Optimism, ha dichiarato di aver riscontrato un problema critico nella configurazione dell'oracolo che interessa il suo mercato principale Coinbase Wrapped Ether (cbETH) su Base.
Ciò ha fatto sì che cbETH venisse valutato a circa 1,12 $ per token invece del suo effettivo prezzo di mercato vicino a 2.200 $, il che rappresenta una sottovalutazione di 2.000 volte che ha innescato liquidazioni immediate.
🚨Claude Opus 4.6 ha scritto codice vulnerabile, portando a un exploit di smarttraccon una perdita di 1,78 milioni di dollari
Il prezzo dell'asset cbETH è stato fissato a 1,12 dollari invece di circa 2.200 dollari. I PR del progetto mostrano che i commit sono stati scritti in collaborazione con Claude. È questo il primo hack del codice Solidity codificato in vibe pic.twitter.com/4p78ZZvd67
— pashov (@pashov) 17 febbraio 2026
La vulnerabilità è apparsa il 15 febbraio, subito dopo che Moonwell ha attivato la proposta di governance MIP-X43, che integrava itracwrapper Oracletractable Value (OEV) di Chainlinknei mercati Base e Optimism.
Pertanto, invece di calcolare il prezzo di cbETH in USD moltiplicando il tasso di cambio cbETH/ETH per il feed del prezzo ETH/USD, il codice implementato ha ottenuto solo il tasso di cambio cbETH/ETH e ha trattato tale rapporto come se fosse già denominato in dollari.
Grazie all'oracolo di Moonwell, cbETH viene scambiato a prezzi più bassi e i liquidatori potrebbero ripagare circa 1 dollaro di debiti e ottenere in cambio garanzie per un valore di migliaia di dollari.
Il risk manager di Moonwell è riuscito a ridurre il limite di prestito di cbETH a 0,01 nel giro di poche ore dalla vulnerabilità, congelando di fatto le nuove attività di prestito e contenendo ulteriori danni.
Tuttavia, le liquidazioni erano già state elaborate, quindi gli utenti si sono ritrovati con perdite catastrofiche.
Il protocollo ha inoltre stimato perdite totali pari a 1,78 milioni di dollari, che hanno interessato principalmente le posizioni cbETH, WETH e USDC. Alcuni debitori hanno quasi perso tutte le loro garanzie, mentre altri hanno sfruttato la politica di prezzo errata per prendere in prestito più denaro di quanto avrebbero dovuto, creando così ulteriore debito all'interno del protocollo.
Bithumb ha subito un errore di assegnazione del valore simile solo pochi giorni prima
L' dent di Moonwell è molto simile a un errore commesso presso la borsa sudcoreana Bithumb solo pochi giorni prima, il 6 febbraio, dove un'assegnazione errata di unità ha creato decine di miliardi di dollari di valore fantasma.
A quanto pare, un membro dello staff di Bithumb ha inserito "BTC" invece di "KRW" durante la distribuzione dei premi per una promozione Random Box, premiando così gli utenti in Bitcoin invece che in won coreani.
Il progetto ha perso circa 620.000 Bitcoin per un valore di oltre 40 miliardi di dollari (quasi il 3% dell’intera offerta globale di Bitcoin
Si intensifica il dibattito sulla codifica Vibe
L'incidente di Moonwell dent riacceso il dibattito sulla codifica vibe . I sostenitori sostengono che l'intelligenza artificiale rende la programmazione più accessibile, mentre i critici avvertono che il suo codice potrebbe contenere vulnerabilità che le revisioni umane molto probabilmente non vedrebbero.
trac intelligenti , ha sottolineato che "dietro l'intelligenza artificiale c'è una persona che controlla il lavoro finito, e possibilmente un revisore. Per questo motivo, dare la colpa solo alla rete neurale è sbagliato, sebbene l'incidente dent sollevi preoccupazioni' vibe codifica."
Un'altra azienda di sicurezza blockchain, SlowMist, ha espresso le sue preoccupazioni in merito alla "vulnerabilità della formula dell'oracolo" e alla mancanza di supervisione umana che ha permesso al codice difettoso di raggiungere la produzione.
Uno studio pubblicato poche settimane prima dell'incidente di Moonwell dent identificato dent vulnerabilità in 15 applicazioni create utilizzando popolari strumenti di codifica AI, tra cui Cursor, Claude Code, Codes ecc .
Ancora più interessante è che la ricerca condotta da Anthropic nel dicembre 2025 ha rivelato che Claude Opus 4.5 potrebbe sfruttare vulnerabilità di smart contract per un valore di 4,6 milioni di dollari da solo trac in simulato ). La ricerca ha anche stabilito che i principali modelli di intelligenza artificiale possono ora "identificare in modo dent le dent , creare catene di exploit funzionanti ed estrarre trac con una supervisione umana minima ".
Ciononostante, Moonwell ha chiarito che "nessun altro mercato su Base o OP Mainnet è stato interessato. Il problema è limitato al mercato cbETH Core su Base".
Il protocollo ha anche osservato che questo non era il primodentcon l'oracolo, ricordando undent di segnalazione errata nel novembre 2025.
