در فوریه ۲۰۲۶، پروتکل وامدهی دیفای Moonwell (مونول) هدف یک اکسپلویت ۱.۷۸ میلیون دلاری قرار گرفت. این حادثه از یک باگ در اوراکل قیمت ناشی شد که ظاهراً توسط هوش مصنوعی تولید شده بود. هک Moonwell نهتنها ضعفهای امنیتی پروتکلهای دیفای را آشکار کرد، بلکه زنگ خطر جدیدی درباره استفاده از ابزارهای هوش مصنوعی در توسعه قراردادهای هوشمند به صدا درآورد. در ادامه، جزئیات این رویداد و پیامدهای آن را بررسی میکنیم.
اکسپلویت ۱.۷۸ میلیون دلاری Moonwell؛ چه اتفاقی افتاد؟
در هک Moonwell یک باگ اوراکل (Oracle) تولیدشده توسط هوش مصنوعی (AI) منجر به سوءاستفاده از پروتکل Moonwell شد. پروتکل وامدهی دیفای (DeFi) مونول (Moonwell) پس از آنکه یک باگ در اوراکل قیمت، ارزش اتریوم رپدشده کوینبیس (Coinbase-wrapped ETH) یا cbETH را حدود ۱.۱۲ دلار بهجای تقریباً ۲٬۲۰۰ دلار محاسبه کرد، با سوءاستفادهای حدود ۱.۷۸ میلیون دلاری مواجه شد. این آسیبپذیری از منطق محاسباتی اوراکل ناشی شد که طبق گزارشها توسط مدل هوش مصنوعی Claude Opus 4.6 تولید شده بود.
این منطق یک ضریب مقیاسگذاری نادرست را در فید قیمت دارایی وارد کرده بود. مهاجمان توانستند در برابر وثیقهای که بهشدت کمتر از ارزش واقعی قیمتگذاری شده بود، وام دریافت کنند. آنها همچنین پیش از شناسایی و اصلاح خطا، وجوه را استخراج کردند.
یکپارچگی اوراکل؛ سطح ریسک اصلی در دیفای
اوراکلهای قیمت یکی از حیاتیترین لایههای امنیتی در سیستمهای وامدهی دیفای محسوب میشوند. ارزشگذاری نادرست دارایی میتواند امکان وامگیری با وثیقه ناکافی یا شکست در فرآیند لیکوئیدیشن را فراهم کند. در گذشته نیز بسیاری از سوءاستفادههای بزرگ DeFi به دستکاری اوراکل یا خطاهای قیمتگذاری مربوط بوده است. این موارد معمولاً به نقص در هسته پروتکل مرتبط نبودهاند.
تفاوت هک Moonwell با حملات کلاسیک اوراکل
حادثه Moonwell از این جهت متفاوت است که منطق معیوب ظاهراً به تولید خودکار کد توسط هوش مصنوعی مرتبط بوده است. در این مورد، دادههای مخرب اوراکل عامل اصلی نبودند؛ بلکه خودِ منطق قرارداد هوشمند، ریشه مشکل بود. این موضوع تفاوت اساسی با حملات معمول اوراکل دارد که در آنها مهاجم قیمت را بهطور موقت دستکاری میکند. برای آشنایی بیشتر با چگونگی حفاظت از داراییهای دیجیتال خود، مقاله مرتبط ما را مطالعه کنید.
گسترش سطح حمله با توسعه مبتنی بر هوش مصنوعی
این سوءاستفاده ریسکهای نوظهور مرتبط با توسعه قراردادهای هوشمند (Smart Contract) با کمک AI را برجسته میکند.
مزایا و خطرات کدنویسی با هوش مصنوعی
مدلهای زبانی میتوانند کدنویسی را تسریع کنند و در بسیاری از زمینهها خطای انسانی را کاهش دهند. با این حال، پروتکلهای مالی به دقت عددی، مدیریت واحدها و اعتبارسنجی سناریوهای لبهای نیاز دارند. در دیفای، اشتباهات کوچک در محاسبات یا مقیاسگذاری میتواند به آسیبپذیریهای سیستمی منجر شود. این آسیبپذیریها بر ارزشگذاری وثیقه و توان پرداخت بدهی تأثیر میگذارند.
این رویداد نشان میدهد اجزای قرارداد تولیدشده توسط هوش مصنوعی ممکن است به استانداردهای حسابرسی سختگیرانهتری نیاز داشته باشند. بهویژه در حوزههای حساس مالی مانند پروتکلهای دیفای، بررسی دستی کد هوش مصنوعی ضرورتی انکارناپذیر است.
قیمتگذاری نادرست وثیقه و مواجهه سیستمی
قیمتگذاری نادرست cbETH عملاً الزامات وثیقه برای وامگیری در استخرهای آسیبدیده را از بین برد. از آنجا که سیستمهای وامدهی به نسبتهای دقیق وثیقه متکی هستند، قیمت اشتباه به مهاجمان اجازه داد تا داراییها را با پشتوانه حداقلی استخراج کنند.
شباهت و تفاوت با حملات کلاسیک اوراکل
چنین آسیبپذیریهایی به سوءاستفادههای کلاسیک مبتنی بر Oracle شباهت دارند؛ در آن موارد، قیمت دارایی بهطور موقت دچار انحراف میشود. با این حال، در حادثه مذکور، انحراف از منطق قرارداد سرچشمه گرفت، نه از دادههای خارجی. این موضوع نشان میدهد که حتی بدون دستکاری خارجی، خطاهای داخلی در کد میتواند بهاندازه حملات اوراکل ویرانکننده باشد. سایت رسمی Moonwell جزئیات بیشتری درباره اقدامات اصلاحی منتشر کرده است.
گذار امنیتی در عصر قراردادهای هوشمند مبتنی بر AI
توسعه مبتنی بر هوش مصنوعی بهطور فزایندهای در گردشکارهای مهندسی وب3 استفاده میشود. این کاربرد از قالبهای قرارداد تا منطق یکپارچهسازی را دربر میگیرد. اکسپلویت Moonwell نشان میدهد اکوسیستم ممکن است وارد مرحلهی گذار شده باشد.
مقایسه با اوایل دیفای
این وضعیت مشابه اوایل DeFi است که نوآوری ابزارها در ابتدا سطح ریسک را گسترش داد. از طرفی، چارچوبهای امنیتی و مدلهای حسابرسی هنوز بهطور کامل با کدهای تولیدشده توسط هوش مصنوعی تطبیق نیافتهاند. طبق گزارشهای CoinDesk، استفادههای تولیدی از هوش مصنوعی در توسعه بلاکچین طی سال ۲۰۲۶ افزایش چشمگیری داشته است.
جمعبندی: هک Moonwell و هشدار برای آینده دیفای
حادثه مونول دسته جدیدی از ریسک دیفای را نشان میدهد که به خطاهای تولید خودکار کد در منطق مالی مربوط است. اگرچه هوش مصنوعی میتواند توسعه را تسریع کند، سیستمهای مالی قطعی به دقتی فراتر از تحملهای معمول نرمافزاری نیاز دارند. ریاضیات اوراکل، ضرایب مقیاسگذاری و تبدیل واحدها حوزههایی با دقت بالا هستند. در این حوزهها، خطاهای خودکارسازی میتواند به آسیبپذیری در سطح پروتکل منجر شود.
با گسترش توسعه قراردادهای هوشمند با کمک هوش مصنوعی، روشهای حسابرسی احتمالاً تکامل خواهند یافت. این روشها نهتنها درستی کد، بلکه منشأ تولید و تبدیل عددی را نیز بررسی خواهند کرد. پیامد گستردهتر این است که AI ممکن است نهتنها نحوه ساخت دیفای، بلکه نحوه ایمنسازی آن را نیز تغییر دهد. برای اطلاع از آخرین تهدیدات امنیتی در دنیای کریپتو، مقالات ارزینجا را دنبال کنید.
هک Moonwell چگونه اتفاق افتاد؟
هک Moonwell بهدلیل یک باگ در اوراکل قیمت رخ داد که ارزش cbETH را حدود ۱.۱۲ دلار بهجای ۲٬۲۰۰ دلار محاسبه کرد. این باگ ظاهراً توسط هوش مصنوعی تولید شده بود و به مهاجمان اجازه داد با وثیقه ناکافی، داراییها را استخراج کنند.
نقش هوش مصنوعی در هک Moonwell چه بود؟
طبق گزارشها، منطق محاسباتی اوراکل قیمت توسط مدل هوش مصنوعی Claude Opus 4.6 تولید شده بود. این مدل یک ضریب مقیاسگذاری نادرست در فید قیمت وارد کرده بود که منجر به آسیبپذیری شد.
اوراکل قیمت در دیفای چیست و چرا مهم است؟
اوراکلهای قیمت سیستمهایی هستند که دادههای قیمت داراییها را از منابع خارجی به قراردادهای هوشمند منتقل میکنند. در پروتکلهای وامدهی دیفای، دقت اوراکل مستقیماً بر ارزشگذاری وثیقه و امنیت پروتکل تأثیر میگذارد.
چگونه میتوان از حملات مشابه هک Moonwell جلوگیری کرد؟
استفاده از حسابرسیهای امنیتی چندلایه، بررسی دستی کدهای تولیدشده توسط هوش مصنوعی، و اعمال استانداردهای سختگیرانهتر برای تست ضرایب مقیاسگذاری و تبدیل واحدها از جمله اقدامات پیشگیرانه مهم هستند.
