Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
E si riaccende la polemica “vibe coding si” o “vibe coding no”!
Quando si parla di finanza decentralizzata, di solito si pensa a un mondo di innovazione e progresso, ma anche di rischi e vulnerabilità. E infatti, quando qualcosa va storto in questo ambito, la prima cosa che viene in mente è una falla nella sicurezza o un attacco informatico. Ma nel caso di Moonwell, il problema è venuto da una direzione inaspettata: l’intelligenza artificiale.
Sì, hai letto bene!
L’intelligenza artificiale è stata la causa di una perdita di 1,78 milioni di dollari per il protocollo Moonwell, a causa di un bug generato dal modello Anthropic Claude Opus 4.6. È una storia che fa riflettere, perché mostra come anche le tecnologie più avanzate possano nascondere errori imprevedibili.
Dopo aver implementato un aggiornamento con i contratti Oracle Extractable Value (OEV) di Chainlink sul mercato principale cbETH sulla rete Base, si è verificato un errore nel calcolo del prezzo. Invece di moltiplicare il tasso di cambio cbETH/ETH per il prezzo ETH/USD, il codice ha preso solo il rapporto cbETH/ETH e lo ha calcolato come prezzo in dollari.
Di conseguenza, il token cbETH è stato valutato a circa 1,12 dollari invece del suo valore reale di circa 2.200 dollari. Questa sottovalutazione di quasi duemila volte ha innescato liquidazioni immediate. I liquidatori sono stati in grado di estinguere debiti per circa un dollaro e ricevere asset per un valore di migliaia di dollari come garanzia.
La vulnerabilità è emersa il 15 febbraio, subito dopo l’attivazione della proposta MIP-X43. Il risk manager è riuscito a ridurre il limite di prestito di cbETH quasi a zero nel giro di poche ore, bloccando di fatto nuovi prestiti e limitando ulteriori danni. Tuttavia, si erano già verificate delle liquidazioni e alcuni utenti avevano perso quasi tutte le loro garanzie.
Secondo le stime del protocollo, il danno totale ammontava a 1,78 milioni di dollari. Le posizioni in cbETH, WETH e USDC hanno subito i danni maggiori. Alcuni debitori, al contrario, hanno approfittato del prezzo errato e hanno preso in prestito più di quanto consentito dalle regole, ampliando così il divario nei loro saldi.
La situazione è sorprendentemente simile a un recente incidente sulla piattaforma di scambio sudcoreana Bithumb della quale avevamo parlato recentemente. Il 6 febbraio, un dipendente ha erroneamente indicato Bitcoin invece del won sudcoreano nell’accredito dei bonus nell’ambito della promozione Random Box. Di conseguenza, gli utenti hanno ricevuto premi in BTC, non nella valuta nazionale. La perdita è stata stimata in circa 620.000 Bitcoin, per un valore di oltre 40 miliardi di dollari, pari a quasi il 3% della fornitura totale di Bitcoin in circolazione.
La vicenda di Moonwell ha riacceso il dibattito sul cosiddetto vibe coding, ovvero l’approccio in cui gli sviluppatori si affidano ampiamente a modelli generativi durante la scrittura del codice. Il revisore di smart contract Pashov ha sottolineato che dietro una rete neurale c’è sempre un essere umano che verifica i risultati ed è responsabile del rilascio del codice in produzione. Sostiene che attribuire la colpa esclusivamente al modello sia inappropriato, sebbene il caso in sé sollevi preoccupazioni sui rischi di questo approccio.
Nelle settimane precedenti l’incidente, i ricercatori hanno trovato 69 vulnerabilità in 15 applicazioni sviluppate utilizzando strumenti di intelligenza artificiale molto diffusi, tra cui Cursor e Claude Code. Inoltre, nel dicembre 2025, la stessa Anthropic ha pubblicato i risultati dei test in cui la versione precedente del modello Claude Opus 4.5 era in grado di trovare in modo indipendente vulnerabilità negli smart contract, creare catene di attacco ed estrarre da essi fino a 4,6 milioni di dollari di valore in un ambiente simulato.
Moonwell ha sottolineato che gli altri mercati sulla rete Base e sulla mainnet di Optimism non sono interessati. Il problema è limitato al mercato cbETH su Base. Questa non è la prima interruzione relativa agli oracoli del protocollo; un incidente simile si è verificato nel novembre 2025.
La storia di un singolo errore di riga di codice dimostra che l’automazione dello sviluppo non sostituisce il controllo logico di base. Altrimenti, il costo di tale disattenzione potrebbe essere quantificato in milioni.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
