Moonwell, un protocolo de préstamos financieros descentralizados (DeFi) implementado en Base y Optimism, fue explotado por valor de aproximadamente USD 1,78 millones después de que un oráculo de precios para Coinbase Wrapped Staked ETH (cbETH) devolviera un valor de aproximadamente USD 1,12 en lugar de USD 2.200, lo que generó un error de valoración que los atacantes pudieron aprovechar para obtener ganancias.
Moonwell afirmó en un análisis posterior al incidente que una propuesta de gobernanza ejecutada el domingo configuró incorrectamente el oráculo cbETH al utilizar únicamente el tipo de cambio cbETH/ETH, lo que provocó que el sistema informara de un valor de cbETH de aproximadamente USD 1,12. El protocolo afirmó que los bots de liquidación y los prestatarios oportunistas se aprovecharon del error de valoración, lo que dejó una deuda incobrable de aproximadamente USD 1,78 millones.
Las solicitudes de extracción de los contratos afectados muestran múltiples compromisos coescritos por Claude Opus 4.6 de Anthropic, lo que llevó al auditor de seguridad Pashov a señalar públicamente el incidente como un ejemplo de Solidity escrito por inteligencia artificial o asistido por IA que resultó contraproducente.
En declaraciones a Cointelegraph sobre el incidente, afirmó que había relacionado el caso con Claude porque había múltiples compromisos en las solicitudes de extracción que habían sido coescritos por Claude, lo que significa que "el desarrollador estaba utilizando Claude para escribir el código, y esto ha dado lugar a la vulnerabilidad".
Sin embargo, Pashov advirtió que no se debe considerar que el fallo se debe exclusivamente a la IA. Describió el problema del oráculo como el tipo de error "que incluso un desarrollador senior de Solidity podría haber cometido", argumentando que el verdadero problema era la falta de comprobaciones suficientemente rigurosas y de una validación integral.
Inicialmente, dijo que creía que no se había realizado ninguna prueba ni auditoría, pero más tarde reconoció que el equipo había afirmado que había realizado pruebas unitarias y de integración en una solicitud de extracción separada y que había encargado una auditoría a Halborn.
En su opinión, el error de valoración "podría haberse detectado con una prueba de integración, una prueba adecuada, integrada con la cadena de bloques", pero se negó a criticar directamente a otras empresas de seguridad.
Pequeña pérdida, grandes cuestiones de gobernanza
La cantidad en dólares del exploit es pequeña en comparación con algunos de los incidentes más importantes de DeFi, como el exploit del puente Ronin en marzo de 2022, en el que los atacantes robaron más de USD 600 millones, u otros hackeos de puentes y protocolos de préstamo de nueve cifras.
Lo que hace que Moonwell sea notable es la combinación de la coautoría de la IA, un fallo aparentemente básico en la configuración del precio de un activo importante y las auditorías y pruebas existentes que no lo detectaron.
Pashov afirmó que su propia empresa no cambiaría fundamentalmente su proceso, pero que si el código parecía "codificado de forma irregular", su equipo "mantendría los ojos un poco más abiertos" y esperaría una mayor densidad de problemas fáciles de detectar, aunque este error concreto del oráculo "no fuera tan fácil" de detectar.
“Vibe coding” frente al uso disciplinado de la IA
Fraser Edwards, cofundador y CEO de cheqd, un proveedor de infraestructura de identidad descentralizada, dijo a Cointelegraph que el debate en torno a la codificación de vibraciones enmascara "dos interpretaciones muy diferentes" sobre cómo se utiliza la IA.
Por un lado, dijo, están los fundadores sin conocimientos técnicos que piden a la IA que genere código que no pueden revisar de forma independiente; por otro, los desarrolladores experimentados que utilizan la IA para acelerar las refactorizaciones, la exploración de patrones y las pruebas dentro de un proceso de ingeniería maduro.
El desarrollo asistido por IA "puede ser valioso, especialmente en la fase MVP [producto mínimo viable]", señaló, pero "no debe considerarse un atajo hacia una infraestructura lista para la producción", especialmente en sistemas que requieren mucho capital, como DeFi.
Edwards argumentó que todo el código de contratos inteligentes generado por IA debe tratarse como una entrada no fiable, sujeta a un estricto control de versiones, una propiedad clara del código, una revisión por pares multipersonal y pruebas avanzadas, especialmente en áreas de alto riesgo como los controles de acceso, la lógica de precios y oráculos, y los mecanismos de actualización.
"En última instancia, la integración responsable de la IA se reduce a la gobernanza y la disciplina", dijo, con puertas de revisión claras, separación entre la generación y la validación del código, y la suposición de que cualquier contrato desplegado en un entorno adverso puede contener riesgos latentes.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
