Moonwell, sebuah protokol pinjaman keuangan terdesentralisasi (DeFi) yang aktif di ekosistem Base dan Optimism, menjadi target dari eksploitasi yang dihitung yang menghasilkan sekitar $1,78 juta bagi penyerang. Penyebab utama berpusat pada oracle harga untuk Coinbase Wrapped Staked ETH (cbETH) yang mengembalikan nilai yang secara anomalinya rendah—sekitar $1,12 bukan harga yang benar mendekati $2.200—yang menciptakan kesalahan penetapan harga yang dapat disalahgunakan oleh aktor cerdas untuk meraih keuntungan. Insiden ini menyoroti kerentanan infrastruktur DeFi lintas rantai ketika feed harga salah dan sistem otomatis mengandalkan data yang keliru. Ini juga menyoroti peran pengembangan berbantuan AI dalam keamanan kontrak pintar, sebuah topik yang semakin kontroversial seiring tim-tim bergantung pada alat berbasis AI untuk mempercepat pengkodean dan audit.
Cerita ini mengaitkan kesalahan penetapan harga secara teknis dengan pertanyaan tata kelola dan rekayasa yang melampaui satu eksploitasi. Setelah insiden, aktivitas pengembangan Moonwell menarik perhatian setelah peneliti keamanan Leonid Pashov menyoroti kekhawatiran di media sosial tentang kontribusi berbantuan AI dalam kode dasar. Permintaan tarik (pull request) yang terkait dengan kontrak yang terdampak menunjukkan beberapa komit yang dikontribusikan bersama oleh Claude Opus 4.6, sebuah referensi ke alat AI dari Anthropic, yang mendorong Pashov untuk secara terbuka menyebut kasus ini sebagai contoh kode Solidity yang ditulis atau dibantu AI yang gagal. Diskusi ini tidak hanya tentang AI; melainkan tentang apakah kepenulisan kode otomatis dikombinasikan dengan perlindungan yang memadai.
Dalam wawancara dengan Cointelegraph, Pashov menjelaskan bagaimana penemuan ini terungkap: tim mengaitkan kasus ini dengan Claude karena beberapa komit dalam permintaan tarik dikaitkan dengan alur kerja berbantuan AI dari Claude, menunjukkan bahwa pengembang menggunakan AI untuk menulis bagian kode. Implikasi yang lebih luas, katanya, bukanlah bahwa AI secara inheren cacat, tetapi bahwa proses gagal menerapkan pemeriksaan ketat dan validasi menyeluruh. Perbedaan ini penting karena membingkai insiden sebagai peringatan tentang tata kelola, disiplin audit, dan ketelitian pengujian—faktor yang harus mengatur setiap proyek DeFi yang bereksperimen dengan alur kerja pengembangan berbantuan AI.
Kode yang rentan menyebabkan eksploitasi Moonwell. Sumber: Pashov
Komentar awal dari tim Moonwell menyarankan bahwa tidak ada pengujian atau audit yang ekstensif sejak awal. Kemudian, tim menyatakan bahwa pengujian unit dan integrasi ada dalam permintaan tarik terpisah dan bahwa audit telah dilakukan oleh Halborn. Penilaian Pashov tetap bahwa kesalahan penetapan harga ini mungkin terdeteksi dengan pengujian integrasi yang cukup ketat yang menghubungkan logika di dalam rantai dan di luar rantai, meskipun dia menolak menyalahkan firma audit tertentu. Perdebatan ini menyentuh apakah kode yang dihasilkan AI atau yang dibantu AI harus diperlakukan sebagai input yang tidak dipercaya, yang harus tunduk pada proses tata kelola yang ketat, kontrol versi, dan tinjauan oleh banyak orang, terutama di area berisiko tinggi seperti kontrol akses, interaksi oracle, logika penetapan harga, dan jalur peningkatan.
Selain aspek teknis, insiden Moonwell memperkuat percakapan yang lebih luas tentang peran AI dalam siklus pengembangan kripto. Fraser Edwards, salah satu pendiri dan CEO cheqd, penyedia infrastruktur identitas terdesentralisasi, berpendapat bahwa diskursus tentang “vibe coding” menyembunyikan dua realitas berbeda dalam penggunaan AI. Di satu sisi, pendiri non-teknis mungkin bergantung pada AI untuk menyusun kode yang tidak bisa mereka tinjau; di sisi lain, pengembang berpengalaman dapat memanfaatkan AI untuk mempercepat refaktor, mengeksplorasi pola, dan menguji ide dalam disiplin rekayasa yang matang. Edwards menekankan bahwa pengembangan berbantuan AI bisa berharga di tahap MVP tetapi tidak boleh pernah menggantikan infrastruktur siap produksi di lingkungan yang membutuhkan modal besar seperti DeFi.
Edwards mendesak agar setiap kode kontrak pintar yang dihasilkan AI diperlakukan sebagai input yang tidak dipercaya, yang memerlukan kontrol versi yang kuat, kepemilikan yang jelas, tinjauan rekan oleh banyak orang, dan pengujian lanjutan—terutama untuk modul yang mengatur kontrol akses, oracle, logika penetapan harga, dan mekanisme upgrade. Ia menambahkan bahwa integrasi AI yang bertanggung jawab pada akhirnya bergantung pada tata kelola dan disiplin, dengan pintu tinjauan yang eksplisit dan pemisahan antara pembuatan kode dan validasi. Tujuannya adalah memastikan bahwa penerapan di lingkungan yang adversarial membawa risiko tersembunyi yang harus diatasi secara proaktif.
Kerugian kecil, pertanyaan tata kelola besar
Insiden Moonwell berada dalam konteks yang lebih luas di mana selera risiko DeFi bertemu dengan praktik pengembangan yang berkembang. Meskipun angka dolar dari eksploitasi ini jauh lebih kecil dibandingkan beberapa pelanggaran DeFi yang paling terkenal—seperti peretasan jembatan Ronin Maret 2022 yang menghasilkan lebih dari $600 juta—episode ini mengungkapkan bagaimana keputusan tata kelola, ketelitian pengujian, dan pilihan alat dapat mempengaruhi hasil secara langsung. Kombinasi pengeditan berbantuan AI, salah konfigurasi oracle harga, dan kode yang sudah diaudit menimbulkan pertanyaan tajam: bagaimana proyek harus menyeimbangkan kecepatan, inovasi, dan keamanan ketika AI menjadi bagian dari alur kerja pengembangan? Pelajaran ini berlaku untuk protokol apa pun yang bergantung pada feed harga eksternal dan jalur upgrade yang kompleks, terutama ketika upgrade tersebut menyentuh kolateralisasi dan risiko likuiditas.
Seiring industri mempertimbangkan faktor-faktor ini, episode Moonwell berfungsi sebagai uji coba praktis untuk model keamanan yang berusaha memperluas pengembangan berbantuan AI tanpa mengorbankan perlindungan penting. Ini menyoroti bahwa meskipun sudah ada audit dan pengujian, validasi menyeluruh yang mencakup interaksi di dalam dan di luar rantai tetap penting. Ketegangan antara iterasi cepat dan verifikasi menyeluruh kemungkinan tidak akan mereda, terutama saat lebih banyak protokol mengeksplorasi alat berbasis AI untuk menjaga kecepatan inovasi sekaligus menjaga keamanan.
“Vibe coding” vs penggunaan AI yang disiplin
Diskursus tentang pengkodean berbantuan AI dalam crypto telah beralih dari kritik biner terhadap AI vs. pengembang manusia ke debat yang lebih bernuansa tentang proses. Refleksi Edwards menegaskan bahwa AI bisa menjadi alat yang produktif jika diintegrasikan dalam kerangka disiplin yang menekankan pengawasan, kepemilikan, dan pengujian ketat. Kasus Moonwell memperkuat gagasan bahwa kode yang dihasilkan AI tetap memerlukan tingkat pengawasan yang sama bahkan lebih tinggi daripada kode yang ditulis tangan, mengingat risiko tinggi di DeFi.
Secara praktis, insiden ini mengajak evaluasi ulang bagaimana alur kerja berbantuan AI diatur dalam tim kontrak pintar: siapa yang memiliki output yang dihasilkan AI, bagaimana perubahan ditinjau, dan bagaimana pengujian otomatis dipetakan ke skenario dunia nyata di blockchain. Pesan utama bukanlah untuk mendemonisasi teknologi, tetapi untuk memastikan bahwa saluran tata kelola, jalur audit, dan validasi di rantai tetap kokoh untuk menangkap kesalahan konfigurasi dan kesalahan penetapan harga sebelum modal menjadi risiko.
Apa yang harus diperhatikan selanjutnya
Moonwell merinci langkah-langkah perbaikan dan perubahan tata kelola setelah eksploitasi, termasuk perubahan pada integrasi oracle dan jalur upgrade.
Auditor dan tim Moonwell menerbitkan post-mortem terperinci dan kerangka pengujian yang direvisi yang secara eksplisit mengaitkan skenario di rantai dengan pengujian unit dan integrasi.
Audit independen tambahan fokus pada alur kerja pengembangan berbantuan AI dan dampaknya terhadap komponen kontrak pintar yang kritis.
Peningkatan pemantauan dan peringatan di rantai diterapkan untuk mendeteksi anomali harga secara real-time dan memicu langkah perlindungan seperti circuit breaker atau mekanisme penangguhan.
Sumber & verifikasi
Permintaan tarik kontrak Moonwell v2 yang mengungkap masalah penetapan harga: https://github.com/moonwell-fi/moonwell-contracts-v2/pull/578
Diskusi publik oleh peneliti keamanan Pashov yang merujuk pada komit berbantuan AI di Moonwell: https://x.com/pashov/status/2023872510077616223
Konteks tentang eksploitasi DeFi dan implikasi tata kelola (Ronin bridge, Nomad bridge, dll.) yang dirujuk dalam liputan terkait: https://cointelegraph.com/news/battle-hardened-ronin-bridge-to-axie-reopens-following-600m-hack dan https://cointelegraph.com/news/suspect-behind-190-million-nomad-bridge-hack-extradited-us
Diskusi terkait AI dalam tata kelola crypto dan kajian praktik pengembangan berbantuan AI yang dikutip dalam diskusi industri
Pengkodean berbantuan AI, kesalahan penetapan harga, dan tata kelola di Moonwell: apa artinya bagi DeFi
Pengalaman Moonwell menggambarkan ketegangan praktis di persimpangan alat berbasis AI dan keamanan DeFi. Kesalahan penetapan harga yang dapat dieksploitasi dalam feed harga cbETH menunjukkan bahwa bahkan kesalahan numerik kecil dalam oracle dapat berakumulasi menjadi kerugian material ketika strategi dan aliran dana dipinjamkan melalui protokol pinjaman. Pelajaran yang lebih luas adalah bahwa pengembangan berbantuan AI dapat mempercepat iterasi, tetapi tidak menghilangkan kebutuhan akan validasi menyeluruh yang mensimulasikan interaksi blockchain dunia nyata.
Dalam jangka pendek, insiden ini harus mendorong tim protokol untuk meninjau kembali struktur tata kelola terkait pembuatan kode, kepemilikan review, dan keseimbangan antara alat otomatis dan pengawasan manusia. Ini juga menekankan pentingnya pengujian integrasi yang kokoh yang menghubungkan perubahan status di rantai dengan feed data eksternal, memastikan bahwa kesalahan penetapan harga tidak dapat dieksploitasi dengan cara yang melewati pengendalian risiko. Saat proyek lain bereksperimen dengan alur kerja berbantuan AI, kasus Moonwell kemungkinan akan menjadi referensi tentang bagaimana menyelaraskan kecepatan dengan keamanan dan siapa yang bertanggung jawab ketika kode berbantuan AI menyebabkan kerentanan.
Artikel ini awalnya dipublikasikan dengan judul Moonwell terkena eksploitasi sebesar $1,78 juta saat perdebatan pengkodean AI mencapai DeFi di Crypto Breaking News— sumber terpercaya Anda untuk berita kripto, berita Bitcoin, dan pembaruan blockchain.
