Base ve Optimism üzerinde dağıtılan bir merkeziyetsiz finans DeFi kredi protokolü olan Moonwell, Coinbase Wrapped Staked ETH (cbETH) için bir fiyat oracle’ının 2.200 dolar yerine yaklaşık 1,12 dolar değer döndürmesi sonrasında yaklaşık 1,78 milyon dolar istismar edildi ve bu yanlış fiyatlama saldırganların kâr elde etmek için kullanabildiği bir durum yarattı.
Moonwell, bir olay sonrası değerlendirme yazısında pazar günü yürütülen bir yönetişim teklifinin, cbETH/ETH döviz kurunu tek başına kullanarak cbETH oracle’ını yanlış yapılandırdığını ve sistemin cbETH’yi yaklaşık 1,12 dolar olarak raporlamasına neden olduğunu söyledi. Protokol, tasfiye botlarının ve fırsatçı borç alanların bu yanlış fiyatlamayı istismar ettiğini ve yaklaşık 1,78 milyon dolarlık batık borç bıraktığını belirtti.
Etkilenen sözleşmeler için yapılan pull request’ler, Anthropic’in Claude Opus 4.6 modeli tarafından ortak yazılan birden fazla commit gösteriyor ve bu durum güvenlik denetçisi Pashov’un olayı yapay zeka tarafından yazılmış veya yapay zeka destekli Solidity kodunun geri teptiğine dair bir örnek olarak kamuya açık şekilde işaretlemesine yol açtı.
Olay hakkında Cointelegraph’a konuşan Pashov, vakayı Claude ile ilişkilendirdiğini çünkü pull request’lerde Claude tarafından ortak yazılmış birden fazla commit bulunduğunu söyledi ve bunun “geliştiricinin kodu yazmak için Claude’u kullandığı ve bunun zafiyete yol açtığı” anlamına geldiğini belirtti.
Bununla birlikte Pashov, hatayı yalnızca yapay zekaya özgü bir durum olarak değerlendirmemek konusunda uyardı. Oracle sorununu “kıdemli bir Solidity geliştiricisinin bile yapabileceği” türden bir hata olarak tanımladı ve asıl sorunun yeterince titiz kontrollerin ve uçtan uca doğrulamanın eksikliği olduğunu savundu.
Başlangıçta hiçbir test veya denetim yapılmadığını düşündüğünü söyledi ancak daha sonra ekibin ayrı bir pull request’te birim ve entegrasyon testleri bulunduğunu ve Halborn’dan bir denetim talep ettiğini belirttiğini kabul etti.
Ona göre bu yanlış fiyatlama, “blockchain ile entegre edilmiş uygun bir entegrasyon testiyle yakalanabilirdi” ancak diğer güvenlik firmalarını doğrudan eleştirmeyi reddetti.
Küçük kayıp, büyük yönetişim soruları
İstismarın dolar tutarı, Mart 2022’de saldırganların 600 milyon dolardan fazla çaldığı Ronin köprüsü istismarı veya diğer dokuz haneli köprü ve kredi protokolü siber saldırıları gibi DeFi’nin en büyük olaylarından bazılarıyla karşılaştırıldığında küçüktür.
Moonwell’i dikkat çekici kılan, yapay zeka ortak yazarlığı, büyük bir varlıkta temel gibi görünen bir fiyat yapılandırma hatası ve bunu yakalayamayan mevcut denetimler ve testlerin birleşimidir.
Pashov, kendi şirketinin sürecini temelden değiştirmeyeceğini ancak kod “vibe coded” görünüyorsa ekibinin “biraz daha açık gözlerle” bakacağını ve düşük asılı sorunların daha yüksek yoğunlukta olmasını bekleyeceğini söyledi, her ne kadar bu belirli oracle hatasının “o kadar da kolay” fark edilir olmadığını belirtse de.
“Vibe coding” ile disiplinli yapay zeka kullanımı
Merkeziyetsiz kimlik altyapı sağlayıcısı cheqd’in kurucu ortağı ve CEO’su Fraser Edwards, Cointelegraph’a yaptığı açıklamada vibe coding etrafındaki tartışmanın yapay zekanın nasıl kullanıldığına dair “iki çok farklı yorumu” gizlediğini söyledi.
Bir tarafta, bağımsız olarak gözden geçiremeyecekleri kodu üretmesi için yapay zekaya komut veren teknik olmayan kurucular bulunuyor. Diğer tarafta ise olgun bir mühendislik süreci içinde yeniden düzenlemeleri, desen keşfini ve testleri hızlandırmak için yapay zekayı kullanan deneyimli geliştiriciler yer alıyor.
Yapay zeka destekli geliştirme, özellikle MVP minimum uygulanabilir ürün aşamasında “değerli olabilir” ancak özellikle DeFi gibi sermaye yoğun sistemlerde “üretime hazır altyapı için bir kestirme yol olarak görülmemelidir.”
Edwards, yapay zeka tarafından üretilen tüm akıllı sözleşme kodlarının güvenilmeyen girdi olarak ele alınması gerektiğini ve özellikle erişim kontrolleri, oracle ve fiyat mantığı ile yükseltme mekanizmaları gibi yüksek riskli alanlarda sıkı sürüm kontrolü, net kod sahipliği, çok kişili akran incelemesi ve gelişmiş testlere tabi tutulması gerektiğini savundu.
“Sonuç olarak sorumlu yapay zeka entegrasyonu yönetişim ve disipline dayanır” dedi ve net inceleme kapıları, kod üretimi ile doğrulama arasında ayrım ve düşmanca bir ortamda dağıtılan herhangi bir sözleşmenin gizli risk içerebileceği varsayımı gerektiğini belirtti.
