تعرض بروتوكول الإقراض اللامركزي Moonwell، الذي يعمل على شبكتي Base وOptimism، لاختراق مالي بلغت قيمته نحو 1.78 مليون دولار. جاء ذلك بعد أن أعاد أوراكل تسعير عملة Coinbase Wrapped Staked ETH (cbETH) بقيمة خاطئة بلغت حوالي 1.12 دولار بدلاً من 2,200 دولار، مما أدى إلى تسعير غير دقيق استغله المهاجمون لتحقيق أرباح.
وأوضحت Moonwell في تقريرها اللاحق أن مقترح حوكمة نفذ يوم الأحد تسبب في ضبط خاطئ لأوراكل cbETH، حيث اعتمد فقط على سعر الصرف cbETH/ETH، مما أدى إلى تقييم العملة عند نحو 1.12 دولار. وأدى هذا الخطأ إلى استغلاله من قبل روبوتات التصفية والمقترضين الانتهازيين، الذين تركوا ديوناً معدومة بحوالي 1.78 مليون دولار.
تأثير الذكاء الاصطناعي على تطوير العقود الذكية
أظهرت طلبات السحب الخاصة بالعقود المتأثرة تعديلات كتبها نموذج Claude Opus 4.6 من شركة Anthropic، مما دفع المدقق الأمني Pashov إلى اعتبار الحادثة مثالاً على النتائج السلبية لاستخدام الذكاء الاصطناعي في كتابة كود Solidity. وأشار إلى أن وجود تعديلات متعددة في طلبات السحب يشير إلى أن المطور استخدم Claude كمؤلف مشارك، مما ساهم في ظهور الثغرة.
مع ذلك، حذر Pashov من إلقاء اللوم الكامل على الذكاء الاصطناعي، موضحاً أن المشكلة الأساسية كانت غياب اختبارات صارمة والتحقق الشامل من البداية إلى النهاية. وأكد أن الخطأ في تسعير الأوراكل قد يقع فيه حتى مطورون ذوو خبرة.
وأضاف أن الفريق قام بإجراء اختبارات وحدات واختبارات تكامل، كما كلف شركة Halborn بإجراء تدقيق أمني، لكنه أشار إلى أن التسعير الخاطئ كان يمكن اكتشافه عبر اختبار تكامل مناسب يتفاعل مع البلوكتشين.
خسائر محدودة وأسئلة حول الحوكمة
رغم أن قيمة الاختراق صغيرة مقارنة بحوادث DeFi الكبرى مثل اختراق جسر Ronin في مارس 2022 الذي تجاوز 600 مليون دولار، إلا أن حادثة Moonwell تبرز بسبب مزيج من استخدام الذكاء الاصطناعي في كتابة الكود وفشل بسيط في ضبط تسعير أصل رئيسي، بالإضافة إلى وجود تدقيقات واختبارات لم تكشف الخلل.
وأشار Pashov إلى أن فريقه سيظل يقظاً عند التعامل مع الكود المكتوب بأسلوب “vibe coding”، متوقعاً زيادة في المشكلات السهلة، رغم أن الخطأ في الأوراكل لم يكن سهلاً في الاكتشاف.
وجهات نظر حول “vibe coding” والذكاء الاصطناعي
قال فريزر إدواردز، المؤسس المشارك والرئيس التنفيذي لشركة cheqd، إن الجدل حول “vibe coding” يعكس تفسيرات مختلفة لكيفية استخدام الذكاء الاصطناعي. فبعض المؤسسين غير التقنيين يطلبون من الذكاء الاصطناعي توليد كود يصعب عليهم مراجعته، بينما يستخدم مطورون ذوو خبرة الذكاء الاصطناعي لتسريع عمليات التطوير ضمن إطار هندسي ناضج.
وأضاف أن استخدام الذكاء الاصطناعي قد يكون مفيداً خاصة في مرحلة MVP، لكنه لا ينبغي أن يحل محل بناء بنية إنتاجية جاهزة، خصوصاً في أنظمة مثل DeFi التي تتطلب دقة عالية.
وأكد إدواردز أن أي كود عقود ذكية يولده الذكاء الاصطناعي يجب أن يُعامل كمدخل غير موثوق به ويخضع لضوابط صارمة تشمل التحكم في الإصدارات، ووضوح ملكية الكود، ومراجعة الأقران، بالإضافة إلى اختبارات متقدمة، خاصة في المجالات الحساسة مثل صلاحيات الوصول ومنطق التسعير والأوراكل وآليات الترقية.
وختم بأن دمج الذكاء الاصطناعي بشكل مسؤول يعتمد على الحوكمة والانضباط، مع وجود بوابات مراجعة واضحة وفصل بين توليد الكود والتحقق منه، مع افتراض أن أي عقد يُنشر في بيئة عدائية قد يحمل مخاطر كامنة.
