Moonwellのガバナンスフォーラムへの17日投稿によると、2月15日、BaseおよびOptimismブロックチェーン上で展開するDeFiレンディングプロトコル「Moonwell」はガバナンス提案「MIP-X43」を実行し、両チェーンのコアマーケット全体にChainlink OEVラッパーコントラクトを有効化した。
しかし実装されたオラクル設定に致命的なミスが含まれており、約178万ドル(約2.6億円)の損失が発生した。
原因はcbETH(Coinbase Wrapped Staked ETH)の価格計算式の誤りだ。本来「cbETH/ETH比率×ETH/USD価格」で算出すべきところ、比率の「1.12」がそのままドル価格として使用された。
約2,200ドルの資産が1.12ドルと表示され、清算ボットが即座に大量の担保ポジションを差し押さえ、プロトコルに178万ドルの不良債務が残った。コードを作成したのはMoonwellのリスク管理を担うAnthias Labsで、GitHubのPR記録には「Claude Opus 4.6との共著」と明記されていた。
チームは異常検知から4分後にcbETHの供給・借入上限を緊急引き下げし追加被害を防いだが、オラクルの修正には5日間のガバナンス投票とタイムロックが必要なため即時対応は不可能だった。被害ユーザーへの補償を検討するガバナンス提案が準備中だ。
セキュリティ研究者のPashov氏はX上で「AIが生成したスマートコントラクトコードが原因となった初のDeFiハックではないか」と指摘。暗号セキュリティ専門家のCos(余弦)氏も「非常に初歩的な計算式のミスが原因で、注目すべき点はコミット記録に『Claude Opus 4.6との共著』と記載されていることだ。Claudeの最新・最上位モデルだ」とコメントした。
Moonwellは過去にも2024年12月に約32万ドルのフラッシュローン攻撃、2025年10月に約170万ドルのオラクルインシデントを経験しており、セキュリティ上の問題が相次いでいる。
同プロトコルは2025年初頭にImmunefiのバグバウンティプログラムも終了させており、セキュリティ体制への懸念が高まっている。
関連: ソフトバンク・三井住友FG・SBIらが集結|デジタル金融×AI×量子の「交差点」をDSC2026で掴む
関連: Nansen(ナンセン)とは?仮想通貨のAIエージェントでクジラ取引を追跡、使い方と割引プラン【2026年最新】
