Ein Fehler im Code des DeFi-Protokolls Moonwell kostet Nutzer rund $1,78 Millionen. Besonders brisant ist, dass der anfällige Code teilweise von Claude Opus 4.6, einem fortschrittlichen KI-Modell, mitverfasst wurde. Der Preis von cbETH war im Smart Contract falsch hinterlegt, wodurch ein Angreifer von einer massiven Abweichung im Oracle-Feed profitieren konnte.
Ethereum ist erhältlich bei Bitvavo und Bybit.
Preis von cbETH falsch konfiguriert
Laut Smart-Contract-Auditor pashov war der Preis von cbETH im Vertrag mit $1,12 hinterlegt, während der tatsächliche Wert bei rund $2.200 lag. Durch diesen Fehler in der Oracle-Konfiguration konnte ein Angreifer Vermögenswerte zu einer extrem niedrigen Bewertung innerhalb des Kreditprotokolls nutzen. Das Ergebnis war ein Schaden von etwa $1,78 Millionen.
Die Erkenntnisse wurden über X geteilt, wo pashov auf die Beteiligung von Claude Opus 4.6 beim Schreiben des betreffenden Codes hinweist:
Auch der SlowMist-Gründer Cos bestätigt, dass es sich um einen grundlegenden Fehler in der Preisfeed-Formel handelt. Seiner Einschätzung nach liegt eine sehr basale Programmierfehler in der Oracle-Logik von Moonwell vor.
Erster Hack von KI-geschriebenem Solidity-Code?
Besonders bemerkenswert ist, dass die Pull Requests des Projekts Commits mit dem Hinweis „Co Authored By: Claude Opus 4.6“ enthalten. Damit scheint es sich um einen der ersten Fälle zu handeln, in dem ein Exploit explizit mit sogenanntem Vibe Coding und KI-generiertem Solidity-Code in Verbindung gebracht wird.
Der Sektor der digitalen Währungen experimentiert zunehmend mit KI, um Smart Contracts schneller zu entwickeln. Dieses Ereignis zeigt jedoch, dass selbst fortschrittliche Modelle keine fehlerfreie Implementierung garantieren. Eine falsche Formel im Oracle-Feed kann unmittelbare finanzielle Folgen haben. Zuvor wurde der Markt bereits vor neuen Risiken gewarnt, etwa im Zusammenhang mit dieser Kryptowährungs-Phishing-Kampagne, die Investoren traf.
Risiken der Automatisierung im DeFi-Bereich
Der Fehler bei Moonwell betrifft keine komplexe Kryptografie, sondern eine einfache Fehlkonfiguration von Preisdaten. Genau das macht den Vorfall so brisant. DeFi-Protokolle verlassen sich vollständig auf korrekte On-Chain-Daten, um Sicherheiten und Liquidationen zu berechnen. Stimmen diese Eingabedaten nicht, entstehen sofort Arbitragemöglichkeiten.
Der Vorfall befeuert die Diskussion über die Rolle von KI in der Smart-Contract-Entwicklung. Entwickler nutzen zunehmend Sprachmodelle, um Solidity-Code zu generieren oder zu überprüfen. Ohne gründliche menschliche Kontrolle kann jedoch selbst ein kleiner Fehler Millionen kosten.
Für Moonwell bedeutet der Exploit einen Reputationsschaden und einen direkten finanziellen Verlust. Für den breiteren Markt ist es vor allem eine Warnung: Automatisierung beschleunigt Innovation, erhöht jedoch zugleich die Notwendigkeit strenger Audits und unabhängiger Kontrollen.