Liegt der Fehler bei Vibe Coding? Das Moonwell-Orakel ist ausgefallen, wer übernimmt die 1,78 Millionen uneinbringliche Forderung?

Moonwell aufgrund eines Fehlers in der Orakel-Konfiguration fälschlicherweise cbETH-Preise auf 1 US-Dollar berichtet, was zu 2,44 Millionen Liquidationen und einer Bad Debt-Krise führte. Die Sicherheit des KI-Codes wird erneut in Frage gestellt.

Fehlerhafte Orakel-Konfiguration: cbETH-Preis schoss instantan auf 1 US-Dollar

In der Welt der dezentralen Finanzen (DeFi) sind präzise Preise das Lebenselixier der Protokolle. Ein einfacher technischer Fehler jedoch kostete das bekannte Kreditprotokoll Moonwell einen hohen Preis.

Am 15. Februar erlebte das Moonwell-Protokoll, das auf den Netzwerken Base und Optimism läuft, einen schweren Fehler in der Orakel-Konfiguration, der dazu führte, dass der Preis für Coinbase-gestaktes Wrapped Ether ($cbETH) von etwa 2.200 US-Dollar auf nur rund 1,12 US-Dollar abstürzte. Dieser 99,9%ige „menschliche Abschlag“ war keine echte Marktschwankung, sondern resultierte aus einem Fehler bei der Ausführung eines Governance-Entscheids namens MIP-X43, bei dem die Chainlink-Preisinformationen nicht korrekt eingestellt wurden. Das System interpretierte den Wechselkurs von cbETH zu ETH (etwa 1,12) direkt als US-Dollar-Preis, anstatt diesen Wechselkurs mit dem ETH-USD-Preis zu multiplizieren. Das führte zur Katastrophe.

Obwohl diese Preisabweichung nur kurz anhielt, reichte sie für automatisierte Liquidations-Bots und Spekulanten aus, um eine wilde Vermögensentwendung durchzuführen. Laut einem Nachbericht von Moonwell erkannten die Liquidations-Bots schnell, dass der Wert der cbETH-Reserven „auf null“ gesetzt wurde, und lösten sofort Liquidationen aus. Dabei mussten sie nur etwa 1 US-Dollar an Schulden zurückzahlen, um Vermögenswerte im Wert von über 2.000 US-Dollar in cbETH zu übernehmen.

Statistiken zeigen, dass während dieses Zeitraums 1.096,317 cbETH unrechtmäßig liquidiert wurden, was einem Gesamtwert von etwa 2,44 Millionen US-Dollar entspricht. Dies führte nicht nur dazu, dass mehrere Kreditnehmer ihre Sicherheiten verloren, sondern hinterließ auch eine Bad Debt von bis zu 1,78 Millionen US-Dollar im Protokoll. Obwohl das Moonwell-Risikomanagement-Team von Anthias Labs die Limits für Kreditaufnahme und -bereitstellung für cbETH innerhalb weniger Minuten auf 0,01 US-Dollar senkte, konnte das Protokoll aufgrund der fünf Tage dauernden Timelock-Governance-Phase die Preisfehler nicht sofort korrigieren. Es musste zusehen, wie einige Liquidationsprozesse weiterliefen.

Claude Opus 4.6 bei der Programmierung? KI-generierter Code löst Sicherheitsdiskussionen aus

Der Grund, warum dieses Ereignis in der Community so viel Diskussion auslöst, liegt nicht im Verlustbetrag, sondern im zugrunde liegenden Programmierprozess. Der Blockchain-Sicherheitsanalyst Pashov veröffentlichte auf der Social-Media-Plattform X, dass der entscheidende Code für die Schwachstelle offenbar mithilfe des KI-Modells Claude Opus 4.6 von Anthropic erstellt wurde. Durch die Überprüfung des Pull Requests 578 auf GitHub lässt sich feststellen, dass mehrere Commits mit Claude als Co-Autor gekennzeichnet sind.

Bildquelle: X/@pashov Blockchain-Sicherheitsanalyst Pashov weist darauf hin, dass der kritische Code vermutlich mit Hilfe des KI-Modells Claude Opus 4.6 von Anthropic erstellt wurde

Pashov bezweifelt, dass dies der erste Fall in der DeFi-Branche ist, bei dem eine groß angelegte Hacker-Attacke durch „Vibe Coding“ ausgelöst wurde – also durch das vertrauen auf KI-generierten Code, der auf Intuition basiert, anstatt auf strenge Logik.

Er führt an, dass die GitHub-Aktivitäten des Entwicklers in der vergangenen Woche erstaunlich hoch waren, mit über 1.000 Commits. Dieses Entwicklungsmuster, das stark auf KI-Output vertraut, aber eine mangelnde tiefgehende Überprüfung aufweist, stellt eine Sicherheitslücke für das Protokoll dar.

Die Debatte um „Vibe Coding“ breitet sich schnell in der Tech-Community aus. Fraser Edwards, Mitgründer von cheqd, meint, KI-gestützte Entwicklung sei eine zweischneidige Sache: Sie könne erfahrenen Entwicklern helfen, schneller zu rekonstruieren und Muster zu erforschen, aber auch unerfahrene Entwickler dazu verleiten, wichtige Überprüfungen und Unit-Tests zu überspringen. Pashov ergänzt, dass Fehler in der Orakel-Konfiguration – selbst von erfahrenen Ingenieuren – passieren können, doch wenn man sich zu sehr auf KI-Ausgaben verlässt und keine gründlichen Tests durchführt, erhöht sich das Risiko erheblich. Ironischerweise, so Edwards, habe Moonwell zwar angegeben, der Code sei von Halborn geprüft und mit Tests versehen, doch kein Test habe die „Preissanity-Checks“ erfasst, was letztlich dazu führte, dass fehlerhafter KI-Code live ging.

Technische Details: Das verschwundene Umrechnungsfaktor-Problem und die Bad Debt-Krise

Im Detail liegt das Problem in der fehlerhaften Berechnung des cbETH-Preises. Normalerweise wird der US-Dollar-Preis von cbETH durch die Multiplikation des cbETH/ETH-Preises mit dem ETH/USD-Preis ermittelt. In der betroffenen Version wurde jedoch nur der cbETH/ETH-Preis abgefragt, ohne den ETH-USD-Preis zu berücksichtigen.

Das führte zu einer Diskrepanz in der Buchhaltung: Die Sicherheiten der Kreditnehmer wurden mit 1,12 US-Dollar bewertet, während die ausgegebenen Assets (wie USDC oder WETH) zum Marktpreis bewertet wurden. Diese Wertdifferenz ermöglichte es den Liquidations-Bots, innerhalb von Millisekunden hohe Arbitrage-Gewinne zu erzielen.

Neben den passiven Opfern, den Liquidationen, nutzten auch einige Spekulanten die Preisabweichung aus, um mit minimalen Sicherheiten große Mengen an cbETH zu leihen, die im „extrem niedrigen Preis“-Zustand waren. Laut Daten von Anthias Labs belaufen sich die Bad Debts auf 1,77 Millionen US-Dollar, verteilt auf cbETH, WETH und USDC. Das ist nicht das erste Mal, dass Moonwell mit Preisproblemen konfrontiert ist: Im November 2025 kam es durch eine Chain-Reaktion bei Chainlink-Preisen infolge eines Balancer-Hacks zu etwa 3,7 Millionen US-Dollar an Bad Debt.

Wiederholte Orakel-Vorfälle zeigen, dass selbst kleinste Rechenfehler oder fehlende Skalierungsfaktoren in der kapitalintensiven DeFi-Welt zu systemischen Insolvenzen führen können. Für Nutzer bedeutet das nicht nur Vermögensverluste, sondern auch eine große Frage nach der Fairness automatisierter Liquidationsmechanismen.

Drei Mal in sechs Monaten: Moonwell erlebt wiederholt Orakel-Fehler

Rückblickend auf die letzten sechs Monate scheint Moonwell in einer Abfolge von Orakel-Vorfällen gefangen zu sein. Von den 170.000 US-Dollar Bad Debt im Oktober 2025, ausgelöst durch Marktschwankungen, über die 3,7 Millionen US-Dollar im November durch einen dritten Protokoll-Hack, bis hin zu den aktuellen 1,78 Millionen US-Dollar durch den KI-Fehler – summiert sich die Bad Debt-Total auf über 7 Millionen US-Dollar.

Verglichen mit dem Höchststand von 380 Millionen US-Dollar TVL im August 2024 ist die aktuelle Situation deutlich kritischer. Das TVL ist auf etwa 90 Millionen US-Dollar gefallen, Sicherheitsvorfälle wie diese sind ein wesentlicher Grund für den Vertrauensverlust. Das Team betont, dass andere Märkte auf Base und Optimism nicht betroffen seien und arbeitet an Reparaturvorschlägen. Doch die Lock-in-Phase der Governance zeigt erneut, wie langsam DeFi-Protokolle in Krisensituationen reagieren.

Das Beispiel von Moonwell beweist: KI kann die Produktivität steigern, trägt aber keine rechtliche oder finanzielle Verantwortung. Das Entwicklungsteam muss strengere Prüfungen einführen, KI-generierten Code als „nicht vertrauenswürdig“ einstufen und Peer-Reviews sowie Grenzwert-Tests für extreme Werte verstärken. Im DeFi-Dschungel kann jede Geschwindigkeit, die auf Kosten der Sicherheit geht, letztlich in eine kalte Schuldenlawine für die Nutzer enden.