另一起重大漏洞發生在2025年11月4日,在去中心化借貸協議Moonwell的Base和Optimism網路上。區塊鏈安全公司BlockSec注意到Moonwell智能合約中的異常,並發現攻擊者利用了ETH/ETH預言機數據中的定價錯誤。
此次攻擊造成了超過一百萬美元的損失,這是過去幾個月最大的去中心化金融(DEFI)安全漏洞之一。攻擊者利用了價格預言機。這種操控使得攻擊者能夠進行套利並從借貸池中提取資金。價格差異使他們能夠在人爲高估的抵押物價值下借款。BlockSec的鏈上觀察表明,這些交易形成了異常的價格模式,並且觸發了高額清算。
分析師指出,事件是對預言機配置的一個缺陷,其中包括過時的心跳間隔和廣泛的偏差閾值。這不是Moonwell第一次遇到漏洞。2024年12月發生的另一起攻擊導致超過320,000的損失,原因是閃電貸攻擊。這些頻繁發生的事件突顯了智能合約和預言機可靠性持續存在的問題。
2024年,超過12億被盜於DeFi漏洞,而預言機操縱是最佳攻擊工具之一。與MEV機器人相關的價格扭曲仍然對依賴鏈外數據的協議構成重大威脅。這一漏洞引發了擔憂,安全專家警告這可能再次引發關於DeFi預言機系統的一系列問題。像BlockSec和PeckShield這樣的機構可能會發布技術根本原因分析的事後報告。
Moonwell的漏洞顯示了盡管採用率在增加,DeFi生態系統仍然是多麼脆弱。一個錯誤設置的價格預言機造成了多米諾效應,在幾分鍾內損失超過100萬美元。盡管BlockSec的快速反應阻止了進一步的損失,但它卻保持沉默。投資者現在因Moonwell而感到焦慮。這種違規行爲凸顯了建立多來源預言機驗證和更快的心跳更新以避免此類攻擊的必要性。
