Erreur d'Oracle laisse le prêteur DeFi Moonwell avec 1,8 million de dollars de créances douteuses

En résumé

• Un oracle mal configuré a évalué le cbETH à environ 1 dollar au lieu d’environ 2 200 dollars.
• Les liquidations ont saisi 1 096,317 cbETH et ont effacé la garantie des emprunteurs.
• Le protocole se retrouvait avec 1,78 million de dollars de créances douteuses en attente d’une correction par la gouvernance.

Une erreur de tarification un dimanche matin s’est transformée en un casse-tête de plusieurs millions de dollars pour la plateforme de prêt DeFi Moonwell, après qu’un « oracle mal configuré » ait brièvement évalué le Coinbase Wrapped ETH (cbETH) à seulement 1 dollar.
L’erreur de tarification a entraîné une réduction de 99,9 % par rapport à la valeur marchande réelle de l’actif, d’environ 2 200 dollars. Cette erreur a déclenché une vague de liquidations, laissant finalement la plateforme avec environ 1,78 million de dollars de créances douteuses.
« Une fois identifiée, notre gestionnaire des risques @anthiasxyz a rapidement réduit le plafond d’emprunt en cbETH à 0,01 pour contenir tout risque supplémentaire pour le protocole », a écrit Moonwell sur X lundi. « Le plafond d’offre a également été réduit à 0,01 pour empêcher les nouveaux utilisateurs de fournir involontairement sur le marché affecté. »

Dans un message sur le forum Moonwell lundi, la société de gestion des risques Anthias Labs a indiqué que l’erreur s’était produite à 18h01 UTC le 15 février, lorsque la proposition de gouvernance DAO Moonwell, MIP-X43, a été exécutée, permettant aux contrats wrapper Chainlink OEV sur les marchés de Base et d’Optimism. L’un de ces oracles était mal configuré et n’a pas correctement évalué la valeur en USD du cbETH.
Moonwell a expliqué qu’au lieu de multiplier le flux cbETH/ETH par le prix ETH/USD, le système utilisait uniquement le taux de change brut cbETH/ETH. En conséquence, l’oracle a indiqué que le cbETH valait environ 1,12 dollar.
Des bots de trading ont commencé à cibler les positions de garantie en cbETH, et comme le système croyait que le cbETH valait un peu plus d’un dollar, les liquidateurs ont pu rembourser environ 1 dollar de dette pour saisir un total de 1 096,317 cbETH, a indiqué la société.
« Cela a effacé la majorité ou la totalité de la garantie en cbETH pour de nombreux emprunteurs, tout en laissant une dette importante en suspens sur leurs positions, puisque le montant remboursé était bien inférieur à la valeur réelle empruntée », a écrit Anthias Labs.

Ce prix déformé a également permis des exploitations.
« Un nombre réduit d’utilisateurs a exploité cette tarification déformée pour fournir une garantie minimale, emprunter massivement en cbETH à un prix artificiellement bas, et générer instantanément une dette supplémentaire en cbETH », a ajouté la société.
Bien que l’oracle mal configuré ait été largement blâmé, des utilisateurs sur X ont commencé à circuler des images du MIP-X43 co-écrit par Claude Opus 4.6, certains qualifiant cela d’erreur de « codage de vibe ».
Interrogé par Decrypt sur l’erreur et l’exploitation qui en a découlé, un porte-parole de Moonwell a refusé de commenter.
Au total, Moonwell se retrouvait avec 1 779 044 dollars de créances douteuses dans divers marchés, selon le post.
Selon Moonwell, un vote de gouvernance à venir abordera la configuration de l’oracle après la période de verrouillage nécessaire.
Moonwell est le dernier d’une liste croissante de projets DeFi exploités en raison d’oracles mal configurés. En décembre, Ribbon Finance a perdu environ 2,7 millions de dollars après qu’un décalage décimal lors d’une mise à jour d’oracle a déformé la tarification des actifs et permis une sur-collatéralisation.
En janvier, la plateforme DeFi Makina Finance a été exploitée via une manipulation d’oracle par prêt flash, permettant à un attaquant d’extraire environ 4 millions de dollars en ETH.