另一起重大漏洞发生在2025年11月4日,在去中心化借贷协议Moonwell的Base和Optimism网络上。区块链安全公司BlockSec注意到Moonwell智能合约中的异常,并发现攻击者利用了ETH/ETH预言机数据中的定价错误。
此次攻击造成了超过一百万美元的损失,这是过去几个月最大的去中心化金融(DEFI)安全漏洞之一。攻击者利用了价格预言机。这种操控使得攻击者能够进行套利并从借贷池中提取资金。价格差异使他们能够在人为高估的抵押物价值下借款。BlockSec的链上观察表明,这些交易形成了异常的价格模式,并且触发了高额清算。
分析师指出,事件是对预言机配置的一个缺陷,其中包括过时的心跳间隔和广泛的偏差阈值。这不是Moonwell第一次遇到漏洞。2024年12月发生的另一起攻击导致超过320,000的损失,原因是闪电贷攻击。这些频繁发生的事件突显了智能合约和预言机可靠性持续存在的问题。
2024年,超过12亿被盗于DeFi漏洞,而预言机操纵是最佳攻击工具之一。与MEV机器人相关的价格扭曲仍然对依赖链外数据的协议构成重大威胁。这一漏洞引发了担忧,安全专家警告这可能再次引发关于DeFi预言机系统的一系列问题。像BlockSec和PeckShield这样的机构可能会发布技术根本原因分析的事后报告。
Moonwell的漏洞显示了尽管采用率在增加,DeFi生态系统仍然是多么脆弱。一个错误设置的价格预言机造成了多米诺效应,在几分钟内损失超过100万美元。尽管BlockSec的快速反应阻止了进一步的损失,但它却保持沉默。投资者现在因Moonwell而感到焦虑。这种违规行为凸显了建立多来源预言机验证和更快的心跳更新以避免此类攻击的必要性。
