Moonwell, một giao thức cho vay DeFi , đã phải chịu một cú sốc tài chính lớn trong cùng tuần đó khi một lỗi nghiêm trọng trong hợp đồng thông minh đã định giá sai Token Coinbase Wrapped Staked Ether (cbETH), cho phép những kẻ tấn công và Bots thanh khoản rút sạch ví và tích lũy khoản nợ xấu khoảng 1,78 triệu đô la.
Phân tích ban đầu sau sự cố cho thấy lỗi logic được thêm vào trong mã được viết chung bởi mô hình AI Claude Opus 4.6, điều này một lần nữa làm dấy lên lo ngại về những nguy hiểm khi đưa trực tiếp mã do AI viết vào sản xuất mà không qua quá trình kiểm tra kỹ lưỡng của con người.
Sai sót về giá xảy ra sau một bản cập nhật quản trị đã cải tiến oracle on-chain của Moonwell, chuyển đổi giá thị trường Ngoài chuỗi thành thông tin có thể được sử dụng trong logic cho vay của nó. Hệ thống đã tính toán sai giá trị đô la của cbETH, lẽ ra phải được tính bằng cách nhân tỷ giá hối đoái của cả hai với giá ETH /USD hiện tại, và do đó chỉ sử dụng tỷ lệ giữa hai giá trị này, dẫn đến giá của cbETH được báo giá khoảng 1,12 đô la thay vì giá thực tế trên thị trường, khoảng 2.200 đô la. Sự chênh lệch này dẫn đến việc định giá thấp hơn 2.000 lần, điều này ngay lập tức bị Bots thanh khoản và các nhà giao dịch cơ hội lợi dụng.
Các nhà giao dịch hợp đồng thông minh và Bots đã thu hồi được một phần nhỏ trong vài phút để nhận lại toàn bộ số cbETH thế chấp trị giá hàng nghìn đô la. Nhìn chung, Moonwell đã mất một lượng lớn các khoản vay không thể thu hồi dưới dạng nợ xấu do giá cả bị bóp méo của hơn 1.096 cbETH đã bị thanh lý.
Sau khi vấn đề được phát hiện, nhóm phát triển Moonwell đã nhanh chóng phản hồi và giảm đáng kể số lượng giới hạn vay và cung cấp trên thị trường cbETH để tránh bị lợi dụng thêm. Tuy nhiên, vì việc khắc phục sự cố cần đến năm ngày bỏ phiếu quản trị và khóa thời gian, nên tình trạng thanh lý vẫn tiếp tục gia tăng trong thời gian đó. Từ đó, giao thức đã đề xuất một phương án quản trị nhằm giải quyết lỗi cấu hình oracle và tăng cường kiểm tra rủi ro.
Vai trò của trí tuệ nhân tạo đang bị xem xét kỹ lưỡng
Mặc dù hầu hết các vụ tấn công trước đây trong lĩnh vực DeFi đều do hack nguồn cấp dữ liệu giá oracle hoặc Khoản vay nhanh, các nhà phân tích tin rằng vụ việc này là độc nhất vô nhị vì có LINK (Chainlink) đến mã được tạo ra bởi trí tuệ nhân tạo (AI). Các cam kết trên GitHub được đồng tác giả bởi Claude Opus 4.6, một mô hình tạo sinh tiên tiến, đã được chuyên gia kiểm toán bảo mật hợp đồng thông minh Pashov chỉ ra trên mạng xã hội liên quan đến yêu cầu kéo (pull request) bổ sung logic oracle bị lỗi. Điều này đã gây ra tranh cãi trong giới blockchain và AI về vai trò của AI trong việc phát triển cơ sở hạ tầng tài chính quan trọng.
Quá trình các nhà phát triển dựa vào các đề xuất hoặc gợi ý của AI để viết mã cấp độ sản phẩm được giới chuyên môn gọi là lập trình theo cảm nhận (vibe-coding). Việc quản lý một phép tính giá cơ bản, trong trường hợp này là không nhân tỷ giá hối đoái trung gian với Neo USD chuẩn, đã dẫn đến hậu quả tai hại trong tình huống thị trường tiền tệ thực tế.
Các nhà phê bình nhấn mạnh rằng mặc dù AI hữu ích trong việc tăng tốc các tác vụ thường nhật tốn nhiều thời gian, nhưng việc tạo mã trong tự động hóa chưa đủ am hiểu về kiến thức phức tạp về các bất biến kinh tế và logic xử lý các trường hợp ngoại lệ cần thiết cho các giao thức DeFi . Một lỗi chuyển đổi đơn vị hoặc lỗi tính toán đơn giản trong việc tính toán giá cả có thể trở thành rủi ro hệ thống khổng lồ khi được sử dụng trên quy mô lớn, đặc biệt là trong các hệ thống cho vay thế chấp có đòn bẩy cao, nơi khả năng thanh toán của hệ thống phụ thuộc rất nhiều vào giá cả chính xác của thị trường.
Những người ủng hộ trí tuệ nhân tạo (AI) trong phát triển phần mềm cũng thừa nhận những lợi ích về năng suất đạt được khi sử dụng các hệ thống như Claude hoặc các mô hình tạo sinh khác, nhưng lưu ý rằng các hệ thống Xác minh chính thức và kiểm toán viên con người vẫn rất cần thiết. Những người này cho rằng AI không thể, nhưng nên bổ sung cho các quy trình xem xét bảo mật cẩn thận, đặc biệt là trong các giao thức với hàng tỷ thanh khoản on-chain .
Ý nghĩa rộng hơn đối với DeFi và sự phát triển của AI
Sự cố sập Moonwell đã làm dấy lên một cuộc tranh luận rộng rãi trong cộng đồng DeFi về các công cụ, tiêu chuẩn kiểm toán và các biện pháp bảo vệ quản trị. Mặc dù tổng thiệt hại khoảng 1,78 triệu đô la có thể được coi là tương đối nhỏ so với các vụ tấn công lớn trong lịch sử của các giao thức lớn hơn, nhưng sự cố này cho thấy ngay cả những lỗi logic nhỏ trong nguồn cấp dữ liệu giá cũng có thể dẫn đến những hậu quả lớn hơn nhiều triệu đô la trên thị trường thực tế.
Theo các chuyên gia bảo mật, Oracles vẫn là một điểm yếu phổ biến trong DeFi. Các nền tảng cho vay dựa vào việc định giá chính xác dữ liệu tài sản thế chấp. Một khi thông tin nền tảng này bị sai lệch do thao túng giá từ bên ngoài hoặc bên trong, toàn bộ mô hình rủi ro của giao thức có thể sụp đổ. Sự cố này đưa ra một khía cạnh khác bằng cách quy kết nguyên nhân lỗi điển hình, đó là việc xác thực kém các phép toán và luồng dữ liệu, cho trí tuệ nhân tạo (AI).
Kể từ khi xảy ra sự cố, các diễn đàn quản trị của Moonwell đã hoạt động tích cực hơn, khi các thành viên cộng đồng đề xuất các biện pháp giảm thiểu rủi ro, bao gồm giới hạn số lần vay ví, tăng thêm phí thanh khoản và kiểm thử on-chain trước khi cấu hình lại oracle được thực hiện. Theo những người am hiểu giao thức, các kế hoạch phục hồi đang được thảo luận để có thể bồi thường cho người dùng bị ảnh hưởng, nhưng chi tiết vẫn đang được bàn bạc.
Điều này có ý nghĩa gì đối với AI trong kỹ thuật hợp đồng thông minh?
Tai nạn Moonwell là một trong những ví dụ cảnh báo cho các nhà phát triển và thiết kế giao thức, những người có thể muốn đưa trí tuệ nhân tạo vào các phần quan trọng của hệ thống. Độ chính xác của hợp đồng thông minh được đảm bảo cao hơn nhiều so với mã ứng dụng thông thường vì tính toàn vẹn tài chính của hợp đồng thông minh đang bị Stake. Mặc dù việc tạo mã tự động có thể hỗ trợ các mẫu mã chuẩn và năng suất của nhà phát triển, nhưng Xác minh chính thức, kiểm tra của con người và thử nghiệm nghiêm ngặt đối với các tình huống bất lợi về kinh tế vẫn vô cùng quan trọng.
Với việc ngày càng nhiều công cụ hỗ trợ bởi trí tuệ nhân tạo được triển khai trong các quy trình kỹ thuật Web3, ngành công nghiệp đang kêu gọi các khung kiểm toán mới, tập trung vào nguồn gốc, logic quyết định và tính chính xác về mặt số học của AI. Điều này bao gồm phần mềm kiểm thử tự động, thực thi tượng trưng và các phương pháp kiểm thử mờ (fuzzing) có thể kiểm tra logic của một hợp đồng ở mức độ rất thấp trước khi đưa vào sản xuất.
Hiệu quả quản trị và phản ứng của cộng đồng đối với Moonwell trong vài tuần tới có thể sẽ quyết định chất lượng mà ngành công nghiệp DeFi nói chung sẽ đánh giá việc giảm thiểu rủi ro từ mã nguồn do AI tạo ra, và có khả năng dẫn đến việc phát triển các hướng dẫn nghiêm ngặt hơn về việc tích hợp các mô hình tạo sinh vào các chương trình tài chính quan trọng trong sản xuất.
Bài đăng " Moonwell mất 1,78 triệu đô la sau khi lỗi hợp đồng thông minh liên quan đến mã do AI tạo ra" xuất hiện lần đầu trên Metaverse Post .
