Уязвимость возникла в коде, созданном моделью ИИ Claude Opus 4.6, указал криптоэксперт. Причиной стала ошибка в алгоритме оракула ценообразования: цена актива cbETH была некорректно рассчитана как $1,12 вместо фактической стоимости около $2200.
Claude Opus 4.6 wrote vulnerable code, leading to a smart contract exploit with $1.78M loss
— pashov (@pashov) February 17, 2026
cbETH asset's price was set to $1.12 instead of ~$2,200. The PRs of the project show commits were co-authored by Claude - Is this the first hack of vibe-coded Solidity code? pic.twitter.com/4p78ZZvd67
Это уже второй эксплойт криптопротокола за последние месяцы. 4 ноября злоумышленник вывел из него около $1 млн (295 ETH). Инцидент тоже был связан с эксплуатацией уязвимости в ценовом оракуле Chainlink для пары rsETH/ETH.
Проблема заключалась в некорректном отображении цены залогового токена wrstETH. Оракул показал стоимость токена свыше $5,8 млн, хотя реальная цена эфира не превышала $3500. Это позволило хакеру через бот искусственно завысить стоимость залога: 0,02 wrstETH были оценены в $116 000. Злоумышленник получил кредит в 20 wstETH, истощив резервы протокола. Повторяя описанную схему в нескольких транзакциях, хакер вывел 295 ETH, что эквивалентно $1 млн по курсу на ноябрь.
В декабре 2024 года протокол потерял $320 000 из‑за флеш‑кредитной атаки, а в октябре того же года ущерб от аналогичной атаки в сети Base превысил $1,7 млн.
Специалисты из BlockSec еще в ноябре указывали на системные проблемы в настройках оракулов как на ключевую причину произошедшего. В частности, отмечалось, что устаревшие интервалы обновления данных создают уязвимости, которыми могут воспользоваться злоумышленники.
Накануне другой кредитный протокол ZeroLend объявил о прекращении работы. Среди причин разработчики назвали рост уязвимостей и увеличение числа хакерских атак на платформы такого рода.
