Вайб-кодинг з Claude Opus призвів до зламу DeFi-проєкту Moonwell
Кредитний протокол Moonwell втратив $1,78 млн через помилку в налаштуваннях оракула. Аудитор смарт-контрактів Pashov пов’язав інцидент із вайб-кодингом з використанням Claude Opus 4.6.
Збій стався 15 лютого після активації пропозиції MIP-X43 ДАО Moonwell. Вона дозволила укладати контракти із застосуванням Chainlink OEV на ринках Base та Optimism.
Технічна помилка
Один з оракулів виявився неправильно налаштованим. Він некоректно визначав доларову ціну Coinbase Wrapped ETH.
Замість множення курсу cbETH/ETH на вартість ETH/USD система транслювала лише співвідношення токенів між собою. У підсумку оракул показував ціну cbETH близько $1,12 замість ~$2200.
Наслідки для користувачів
Аномально низькі котирування спровокували хвилю ліквідацій. Торгові боти атакували позиції із забезпеченням у cbETH. Вони погашали приблизно $1 боргу й отримували натомість 1096,317 cbETH.
Це знищило більшу частину або все забезпечення в cbETH у багатьох позичальників, залишивши значний борг за їхніми позиціями. Паралельно деякі користувачі вносили мінімальне забезпечення для позики cbETH за заниженою ціною.
«Щойно проблему виявили, наш ризик-менеджер @anthiasxyz оперативно знизив ліміт запозичення cbETH до 0,01, щоб обмежити подальші ризики для протоколу», — написали представники Moonwell.
Винний вайб-кодинг?
Аудитор смарт-контрактів Pashov звернув увагу, що коміти для Moonwell зроблено у співавторстві з Claude Opus 4.6.
🚨Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
cbETH asset’s price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude — Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67
— pashov (@pashov) February 17, 2026
«Claude Opus 4.6 написав уразливий код, що призвів до зламу смарт-контракту зі збитком у $1,78 млн.[…] Це перший злам коду Solidity, написаного за допомогою вайб-кодингу?», — зазначив він.
Експерт додав, що за ШІ стоїть людина, яка перевіряє готову роботу, і, можливо, аудитор з безпеки. З цієї причини звинувачувати виключно нейромережу некоректно, хоча інцидент «змушує замислитись» про вайб-кодинг.
Подібний підхід у програмуванні стає дедалі масовішим, попри зростальну критику з боку фахівців.
Нагадаємо, у лютому дослідження виявило 69 вразливостей у 15 застосунках, створених за допомогою популярних інструментів Cursor, Claude Code, Codex, Replit і Devin.