La piattaforma di finanza decentralizzata Moonwell ha subito un exploit da $1 milione il 4 novembre 2025, esponendo vulnerabilità critiche nel modo in cui i protocolli DeFi si affidano ai dati di prezzo esterni. L'attacco ha preso di mira le operazioni del protocollo di prestito sulle reti Base e Optimism, prosciugando fondi tramite un sofisticato sfruttamento del prestito flash che manipolava i feed di prezzo dell'oracolo.
L'incidente si è manifestato quando la società di sicurezza blockchain BlockSec ha rilevato transazioni sospette indirizzate agli smart contract di Moonwell. Secondo l'analisi, gli aggressori hanno sfruttato un feed oracolo errato rsETH/ETH che ha riportato in modo errato il prezzo di ETH restacked avvolto (wrstETH) a $5,8 milioni per token, una massiccia sopravvalutazione rispetto al prezzo di mercato reale inferiore a $3.500 per l'ETH sottostante.
Usando questo errore di valutazione, l'hacker ha eseguito ripetuti attacchi di prestito flash che hanno permesso loro di prendere in prestito quantità sostanziali di criptovaluta con garanzie minori. La società di sicurezza CertiK ha riferito che l'attaccante "è riuscito a prendere in prestito ripetutamente oltre 20 wstETH con solo ~0.02 wrstETH in prestito flash e depositati" grazie al malfunzionamento dell'oracolo.
L'exploit ha permesso all'hacker di ottenere circa 295 ETH, valutati approssimativamente $1 milione.
Un modello di vulnerabilità
Questa ultima violazione rappresenta il quarto incidente di sicurezza grave per Moonwell in tre anni, sollevando serie domande sull'infrastruttura di sicurezza del protocollo. La piattaforma ha perso in precedenza $1,7 milioni in ottobre 2025 durante un crollo del mercato innescato da annunci di tariffe, quando i divari di prezzo oracolo-DEX hanno permesso agli aggressori di sfruttare i meccanismi di liquidazione.
In dicembre 2024, Moonwell ha subito un attacco di prestito flash da $320.000 indirizzato al suo contratto di prestito USDC, dove un contratto malevolo mascherato da "mToken" ha concesso approvazioni di token non autorizzate. L'attaccante ha usato Tornado Cash per finanziare il portafoglio e rapidamente scambiare USDC rubati con DAI prima che le autorità potessero rispondere.
Il protocollo ha anche avuto problemi legati all'incidente di Nomad Bridge nel 2022, sebbene l'impatto finanziario preciso rimanga poco chiaro. Questo preoccupante record ha spinto l'auditor di sicurezza QuillAudits a notare: "Un altro giorno, un altro exploit di Moonwell. Quarto incidente grave in tre anni."
Impatto sul mercato e fiducia degli investitori
L'exploit ha inviato immediati scossoni nell'ecosistema di Moonwell. Il token WELL è crollato del 13,5% in un solo giorno a seguito delle notizie dell'attacco, notevolmente peggiore rispetto al calo del 3,95% del mercato delle criptovalute più ampio. Al 4 novembre, WELL era scambiato a circa $0,0155, rappresentando una diminuzione del 51% nell'ultimo mese e estendendo le perdite dai massimi storici a oltre il 96%.
Il tempismo si è rivelato particolarmente sfortunato per Moonwell, che aveva appena riportato entrate record dalle commissioni in ottobre, distribuendo $2,12 milioni a prestatori e riserve su Base e Optimism. La piattaforma ha attribuito questo successo a "aumento della domanda di prestiti → tassi più alti → più entrate → più WELL acquistati nelle aste di riserve ogni mese." Tuttavia, l'ultima violazione della sicurezza ha oscurato queste metriche positive e ha sollevato preoccupazioni sui deflussi di capitale dal protocollo.
Aggiungendo al disagio degli investitori, Moonwell ha sospeso il suo programma di taglie su Immunefi all'inizio del 2025, appena pochi mesi prima del verificarsi di questi attacchi significativi. Questa decisione ora appare discutibile date le successive fallimenti della sicurezza.
Il problema dell'oracolo in DeFi
L'incidente di Moonwell mette in luce una sfida fondamentale che affronta la finanza decentralizzata: l'affidamento a fonti di dati esterne chiamate oracoli. Questi sistemi forniscono contratti intelligenti con informazioni del mondo reale come i prezzi degli asset, ma introducono potenziali punti di fallimento.
In questo caso, l'exploit è nato da una vulnerabilità dell'oracolo off-chain nel feed di prezzo rsETH/ETH, probabilmente fornito da Chainlink. Gli analisti di sicurezza hanno notato che la configurazione dell'oracolo includeva "intervalli di battito del cuore arcaici e soglie di deviazione ampie," permettendo significativi scostamenti di prezzo prima di innescare aggiornamenti.
Il metodo di attacco stesso era sofisticato. Utilizzando prestiti flash - prestiti non garantiti che devono essere rimborsati all'interno di una singola transazione - l'hacker ha gonfiato i valori delle garanzie basandosi su dati oracolo errati. Poiché il protocollo valutava il piccolo deposito di 0,02 wrstETH a oltre $116.000, l'attaccante poteva prendere in prestito 20 wstETH per transazione, prosciugando le riserve di Moonwell attraverso operazioni multiple.
Gli analisti blockchain credono che i bot MEV (valore estraibile massimo) possano essere stati coinvolti nell'identificare e sfruttare la vulnerabilità, evidenziando come i sistemi di trading automatizzati possano rapidamente capitalizzare sulle debolezze del protocollo.
Crisi più ampia di sicurezza in DeFi
L'exploit di Moonwell si è verificato in un periodo particolarmente turbolento per la finanza decentralizzata. Solo un giorno prima, il 3 novembre, Balancer ha subito un devastante hack da $128 milioni che ha colpito i suoi pool V2 su più blockchain, inclusi Ethereum, Berachain, Arbitrum, Base, Optimism e Polygon.
L'attacco a Balancer ha sfruttato una vulnerabilità di controllo degli accessi difettosa nelle "pool potenziate" e nella funzione "manageUserBalance," nonostante la codebase abbia subito 11 audit di sicurezza distinti dal 2021. Questo dato di fatto ha dimostrato che anche un'ampia verifica non può garantire la sicurezza del protocollo.
Inoltre, Berachain, una blockchain Layer 1 compatibile con Ethereum, ha subito un exploit collegato al tripool Ethena/Honey. La Berachain Foundation ha temporaneamente sospeso la sua rete per prevenire ulteriori danni, con il Chief Smokey Officer Smokey The Bera che ha spiegato: "Quando circa $12 milioni di fondi degli utenti sono a rischio... abbiamo tentato di coordinare il set dei validatori per proteggere quegli utenti."
Insieme, questi tre incidenti nei primi di novembre 2025 hanno cancellato almeno $222 milioni dai protocolli DeFi, secondo The Block, esponendo la natura profondamente interconnessa dei sistemi di liquidità e garanzia attraverso le reti blockchain.
Riflessioni finali
Mentre i dati di PeckShield mostrano che le perdite dovute a hack in DeFi sono scese dell'85,7% in ottobre a $18,18 milioni in 15 incidenti - in calo rispetto a oltre $127 milioni a settembre - gli attacchi di novembre dimostrano che significative vulnerabilità persistono. La manipolazione degli oracoli e gli exploit del prestito flash rimangono tra i vettori di attacco più efficaci contro i protocolli DeFi.
Gli esperti del settore sostengono che questi incidenti accelereranno probabilmente le richieste per requisiti di validazione degli oracoli più rigorosi e sistemi di verifica dei prezzi multi-source. I protocolli DeFi potrebbero avere bisogno di implementare controlli di sanità dei prezzi più robusti, intervalli di battito del cuore più veloci per gli aggiornamenti degli oracoli e interruttori che sospendono le operazioni quando vengono rilevati movimenti di prezzo insoliti.
Per Moonwell specificamente, il percorso per ricostruire la fiducia appare impegnativo. Con il valore totale bloccato in diminuzione da quasi $400 milioni al picco a circa $234 milioni prima dell'ultimo attacco, e ulteriori cali previsti, il protocollo si trova sotto pressione per implementare significativi aggiornamenti di sicurezza e potenzialmente compensare gli utenti danneggiati.
Gli exploit di novembre 2025 servono come un severo promemoria che, nonostante anni di sviluppo e miliardi di dollari bloccati nei protocolli DeFi, il settore rimane vulnerabile a attacchi sofisticati. Con l'aumento dell'adozione e l'afflusso di più capitale istituzionale nella finanza decentralizzata, l'imperativo per misure di sicurezza più forti, sistemi oracolari migliori e una gestione del rischio più completa non è mai stato così critico.