DeFi 借贷协议 Moonwell 在同一周遭受了重大的财务打击,当时一个关键的智能合约漏洞导致 Coinbase Wrapped Staked Ether 代币 (cbETH) 定价错误,使得攻击者和清算机器人能够清空钱包并积累约 178 万美元的坏账。
初步事后分析显示,逻辑错误是在人工智能模型 Claude Opus 4.6 共同编写的代码中添加的,这再次引发了人们对直接将人工智能编写的代码投入生产而不经过严格的人工审查的危险性的担忧。
定价错误发生在 Moonwell 协议的治理更新之后,该更新重构了其链上预言机,将链下市场价格转化为可用于其借贷逻辑的信息。系统错误地计算了 cbETH 的美元价值,而 cbETH 的美元价值本应通过将两者的汇率乘以当前的ETH/USD 价格来计算。因此,系统错误地仅使用了两者的比率,导致 cbETH 的价格约为 1.12 美元,而非市场实际价格(约为 2,200 美元)。如此巨大的价格差异导致 cbETH 被低估了 2,000 倍,并立即被清算机器人和投机交易者利用。
智能合约交易员和机器人仅用几分钟就偿还了一部分资金,换取了价值数千美元的 cbETH 全额抵押。总体而言,由于价格扭曲,Moonwell 损失了大量无法收回的贷款,这些贷款以坏账的形式存在,超过 1096 个 cbETH 已被清算。
Moonwell团队在发现问题后迅速做出反应,大幅降低了cbETH市场的借贷和供应限额,以避免进一步的滥用。然而,由于修复需要五天的治理投票和时间锁定,清算事件在此期间持续累积。此后,该协议提出了一项治理提案,旨在解决预言机配置错误并加强风险检查。
人工智能的角色正受到审视
尽管过去DeFi领域的大多数漏洞都是由于预言机价格信息被盗或闪电贷造成的,但分析师认为此次事件的特殊之处在于它与人工智能生成的代码有关。智能合约安全审计师Pashov在社交媒体上指出,GitHub上由高级生成模型Claude Opus 4.6参与编写的提交记录中,包含了一个引入错误预言机逻辑的拉取请求。这在区块链和人工智能领域引发了关于人工智能在关键金融基础设施发展中所扮演角色的争议。
开发者根据人工智能的建议或提示编写生产级代码的过程,被业内人士称为“感觉编码”。在本例中,基本的定价计算(例如,未将中间汇率乘以正确的美元挂钩汇率)在真实的货币市场环境中造成了灾难性的后果。
批评人士强调,尽管人工智能有助于加快耗时的日常任务,但其自动化生成的代码对复杂的经济不变因素和极端情况逻辑的掌握程度不足,无法应用于去中心化金融(DeFi)协议。一旦大规模应用,价格推导过程中简单的单位换算或算术错误都可能演变成巨大的系统性风险,尤其是在高杠杆抵押贷款系统中,系统的偿付能力高度依赖于市场价格的准确性。
软件开发领域人工智能的支持者也承认,使用诸如 Claude 或其他生成模型之类的系统可以提高生产力,但他们也指出,形式化验证系统和人工审核仍然至关重要。这些人认为,人工智能不能,但应该作为安全审查流程的补充,尤其是在链上流动性高达数十亿的协议中。
对去中心化金融和人工智能发展的更广泛影响
Moonwell的失败已经在更广泛的DeFi社区引发了关于工具、审计标准和治理保护的讨论。尽管约178万美元的总损失相对于大型协议历史上发生的漏洞而言可能微不足道,但此次事件凸显了即使是价格数据源中微小的逻辑错误,也可能导致实时市场中数百万美元的损失。
安全专家指出,预言机仍然是去中心化金融(DeFi)中常见的安全漏洞。借贷平台依赖于抵押品数据的准确估值。一旦这些基础信息受到外部或内部价格操纵的影响,整个协议的风险模型就可能失效。此次事件更添一层复杂性,它将一个典型的错误原因——对计算和数据流验证不足——归咎于人工智能。
自漏洞事件发生以来,Moonwell 的治理论坛变得更加活跃,社区成员提出了多项风险缓解措施,包括限制钱包借贷次数、增加清算费用缓冲以及在实施预言机重配置前进行链上测试。据协议内部人士透露,目前正在讨论恢复计划,以期对受影响用户进行补偿,但具体细节仍在商讨中。
这对智能合约工程中的人工智能意味着什么
Moonwell 事件是开发者和协议设计者在考虑将人工智能引入系统关键部分时应警惕的案例之一。智能合约的正确性保证远高于普通应用程序代码,因为智能合约的财务完整性至关重要。尽管自动化代码生成可以提高样板代码的编写效率和开发者的工作效率,但形式化验证、人工审核以及针对经济对抗情境的严格测试仍然至关重要。
随着越来越多的人工智能辅助工具被部署到Web3工程流程中,业界呼吁建立新的审计框架,以明确解决人工智能的溯源性、决策逻辑和数值正确性问题。这涉及到自动化测试软件、符号执行和模糊测试等方法,这些方法可以在产品投入生产之前,从底层层面检验其逻辑。
未来几周 Moonwell 的治理表现和社区反应可能会决定更广泛的 DeFi 行业将如何对待 AI 生成的代码风险规避,并有可能制定更严格的指导方针,将生成模型纳入生产关键型金融程序。
