El fallo ocurrió el 15 de febrero tras la activación de la propuesta del DAO de Moonwell MIP-X43, que permitió el uso de contratos con Chainlink OEV en las redes Base y Optimism.

Fallo técnico

Uno de los oráculos estaba configurado incorrectamente y calculó mal el precio en dólares de Coinbase Wrapped ETH (cbETH). En lugar de multiplicar la tasa cbETH/ETH por el precio ETH/USD, el sistema solo transmitía la relación entre los tokens. Como resultado, el oráculo mostraba un precio de cbETH cercano a 1,12 dólares en lugar de aproximadamente 2.200 dólares.

Impacto en los usuarios

El precio anormalmente bajo provocó una ola de liquidaciones. Bots de trading atacaron posiciones respaldadas con cbETH, reembolsando alrededor de 1 dólar de deuda y recibiendo a cambio 1.096,317 cbETH.

El auditor de contratos inteligentes Pashov señaló que los commits de Moonwell fueron coautorados por Claude Opus 4.6.
El auditor de contratos inteligentes Pashov señaló que los commits de Moonwell fueron coautorados por Claude Opus 4.6. X

Esto eliminó la mayor parte o la totalidad del colateral en cbETH de muchos prestatarios, dejándolos con una deuda residual significativa. Al mismo tiempo, algunos usuarios pudieron aportar un colateral mínimo para tomar préstamos de cbETH a un precio distorsionado.

«Tan pronto como se identificó el problema, nuestro gestor de riesgos @anthiasxyz redujo rápidamente el límite de endeudamiento de cbETH a 0,01 para limitar riesgos adicionales para el protocolo», señalaron representantes de Moonwell.

¿Es el vibe coding el culpable?

El auditor de contratos inteligentes Pashov indicó que los commits relacionados con Moonwell fueron coautorados con Claude Opus 4.6.

«Claude Opus 4.6 escribió código vulnerable, lo que condujo a la explotación de un contrato inteligente con pérdidas de 1,78 millones de dólares. […] ¿Es este el primer exploit de Solidity causado por código escrito mediante vibe coding?», escribió.

Añadió que, en última instancia, detrás de la IA hay un ser humano que revisa el resultado —y posiblemente un auditor de seguridad—, por lo que culpar únicamente a la red neuronal sería incorrecto. Aun así, el incidente «plantea interrogantes» sobre los riesgos del vibe coding.

Este enfoque de programación se está volviendo cada vez más común, pese a las crecientes críticas de desarrolladores experimentados y especialistas en seguridad.

El incidente de Moonwell pone de relieve cómo una sola mala configuración de un oráculo puede derivar en pérdidas a gran escala en DeFi. Aunque el vibe coding asistido por IA puede acelerar el desarrollo, no sustituye una revisión humana rigurosa ni auditorías de seguridad exhaustivas. El caso subraya la necesidad de controles más estrictos al desplegar código generado por IA en protocolos financieros.