178万美元DeFi漏洞事件引发对AI编写智能合约安全性的讨论
部署在Base和Optimism区块链上的去中心化金融协议Moonwell近日因定价预言机配置错误遭黑客攻击,导致约178万美元资金损失。攻击源于Coinbase质押ETH(cbETH)的定价预言机错误返回1.12美元而非2200美元,造成价格偏差被利用。
漏洞溯源
Moonwell在事后报告中披露,上周日执行的治理提案错误配置了cbETH预言机,仅使用cbETH/ETH汇率导致系统误判价值。该漏洞引发清算机器人和借款人的恶意操作,产生约178万美元坏账。安全审计师Pashov指出,相关合约提交记录显示多个代码由Claude Opus 4.6(Anthropic开发的AI)共同编写,他公开将此案作为AI生成或辅助Solidity代码产生漏洞的典型案例。
技术争议
Pashov强调该漏洞根源不在于AI本身,而是缺乏严格的验证流程。尽管团队称已进行单元测试和委托Halborn审计,但其认为通过区块链集成测试即可发现错误。开发者Edwards则区分两类AI使用场景:非技术创始人直接使用AI生成代码与经验开发者用AI优化工程流程。他主张所有AI生成的智能合约代码都应视作未验证输入,需严格版本控制、多人复核和深度测试。
编辑点评
此次事件凸显AI技术在金融基础设施中的双刃剑效应。随着DeFi生态规模突破万亿美元,智能合约漏洞造成的损失已从单纯技术问题演变为影响全球金融安全的隐患。AI参与代码开发的比例持续上升,但算法偏差和人机协作漏洞可能带来新型风险,这要求国际监管机构重新评估技术认证标准。值得关注的是,美国作为DeFi技术创新中心,其治理漏洞暴露了区块链行业在快速发展中对安全性的忽视。未来针对高风险金融系统的AI开发规范或将推动全球形成智能合约安全治理的统一框架。