Moonwell 因为AI Agent 写出的代码导致 178 万美元损失

Vibe Coding via Claude Opus Leads to Moonwell DeFi Project Breach | ForkLog

Moonwell 之所以因为 “vibe coding（凭感觉写代码）” 损失 178 万美元，核心原因是 AI Agent写出的智能合约代码出现了致命的错误，导致攻击者利用价格错配套利。

Moonwell 是一个 DeFi 借贷协议。它使用预言机 (oracle) 来获取资产价格。

在一次治理提案更新中，预言机把 Coinbase Wrapped Staked ETH（cbETH） 的价格设成了：

• $1.12 美元（错误）

• 实际市场价格约 $2,200 美元（正确）

这个 99.9% 的定价错误 让攻击者可以：

• 用极低价格抵押 cbETH

• 借出大量资产

• 造成协议 178 万美元损失

多家安全研究者指出，这段导致错误的代码是由 Claude Opus 4.6（Anthropic 的 AI）共同编写。 AI 写出的代码：

• 表面上看逻辑合理

• 单元测试也通过

• 但缺少关键的价格乘法逻辑（没有把 cbETH/ETH 汇率乘以 ETH 市价）

这类代码被称为 “vibe-coded”：

错误的核心是：

• 预言机只读取了 cbETH/ETH 的兑换比例

• 却 没有乘上 ETH 的美元价格

• 导致价值从 $2,200 → $1.12

这让系统认为 cbETH 几乎一文不值，引发：

• 大规模清算

• 攻击者套利

• 协议坏账约 178 万美元

虽然 178 万美元在 DeFi 大型黑客事件中不算最大，但它引发了行业巨大争议，因为：

• 这是 AI 共同编写的智能合约

• 代码通过了审查与测试

• 但仍然出现了基础逻辑错误

• 说明 AI 生成代码可能“看起来正确但逻辑不严谨”

这让整个行业开始重新审视：

• AI 是否能安全参与智能合约开发？

• 审计流程是否需要专门针对 AI 代码？

• 治理提案是否需要更严格的测试？