Moonwell, un protocollo di prestito multi-catena, è stato sfruttato tramite oracoli e dati sui prezzi errati. La piattaforma ha perso circa 1 milione di dollari solo un giorno dopo l'attacco hacker a Balancer.
Moonwell, il protocollo di prestito multi-catena, è stato sfruttato tramite dati oracolari errati. Le perdite stimate ammontavano a solo 1 milione di dollari, il giorno dopo il più grande attacco hacker a Balancer .
BlockSec Phantom ha rilevato una serie di flussi in uscita dal protocollo, segnalando un potenziale exploit di trac
ATTENZIONE! Il nostro sistema ha rilevato una serie di transazioni sospette che prendevano di mira trac di @Moonwell DeFi su #Base e #Optimism . La nostra analisi indica un problema con il feed del prezzo del token (rsETH / ETH) dall'oracolo off-chain, che è stato sfruttato, probabilmente da un bot MEV,... pic.twitter.com/cNJFHI3xn3
— BlockSec Phalcon (@Phalcon_xyz) 4 novembre 2025
L'hacker ha sfruttato una falla di prezzo per prendere in prestito e scambiare specifiche tipologie di ETH "wrapped". L'exploit si basava su una disparità di prezzo tra il prestito di 20 wstETH e quello di soli 0,00002 wrstETH. L'hacker si è intascato la differenza durante lo scambio, per un guadagno totale di 295 ETH.
Il basso livello di garanzia ha generato transazioni immediate di wstETH, mentre il prestito è stato rimborsato nello stesso blocco. Il prezzo errato è stato fornito da un oracolo off-chain.
L'hacker è riuscito a sfruttare iltrac, poiché l'oracolo ha restituito un prezzo di 5,8 milioni di dollari per wrstETH. In base ai dati delle transazioni, Moonwell ha utilizzato ChainLink, che a quanto pare ha commesso l'errore di prezzo.
L'hacker ha dovuto semplicemente sfruttare le condizioni favorevoli per un prestito flash e ripetere l'operazione più volte per completare l'exploit. L'exploit pone il problema più grande di affidabilità dell'oracolo, anche se proviene dal leader di mercato ChainLink.
Moonwell segna la quarta impresa significativa
Moonwell è un protocollo DeFi relativamente vecchio, distribuito su più catene. A novembre 2025, il protocollo deteneva 213 milioni di dollari nei suoi caveau di prestito. Moonwell utilizza le reti Base, Optimism, Moonbeam e Moonriver.
Il protocollo è stato già oggetto di attacchi, con quattro exploit negli ultimi tre anni. Moonwell è un fork di Compound V2, di cui eredita alcuni dei problemi.
In precedenza, Moonwell aveva subito undent informatico con un prestito inesigibile il 10 ottobre, perdendo 1,7 milioni di dollari. Nel dicembre 2024, il protocollo ha subito un altro exploit di prestito flash per 320.000 dollari. Nel 2022, Moonwell ha subito perdite a causa di un exploit di bridge, che ha interessato il protocollo.
Il token WELL si blocca dopo un exploit
Il token nativo WELL di Moonwell è crollato dopo la notizia dell'exploit. WELL ha perso oltre il 15%, scendendo a 0,011 dollari. Come per altri attacchi hacker, le perdite derivanti dalla reputazione compromessa e dai crash dei token sono persino maggiori dell'exploit stesso.
L'exploit ha causato una perdita di reputazione per Moonwell, causando una corsa agli sportelli bancari per accedere ai suoi caveau di stablecoin. Gli utenti hanno prelevato i loro USDC, causando un'impennata dell'APY effettivo fino al 168%. La corsa agli sportelli bancari di Moonwell segue i prelievi da Balancer di lunedì.
Il team di Moonwell non ha commentato l'attacco per ore dopo l'incidente dent L'exploit attuale è considerato simile a quello del 10 ottobre, il che significa che il protocollo non ha implementato una correzione. I dati on-chain mostrano che potrebbe essersi verificato un attacco simile, che ha sottratto 269 ETH tramite prezzi errati, ma né il team né i ricercatori hanno notato i prelievi in quel momento.
Moonwell afferma di aver subito diversi audit di sicurezza, ma ciò non ha impedito l'ulteriore attacco. Nonostante il minor numero di attacchi contro i protocolli Web3, i recenti eventi dimostrano che l'ecosistema Ethereum potrebbe presentare rischi quando si tratta di garantire più valore e transazioni più consistenti.
