Merkezi olmayan finans platformu Moonwell, 4 Kasım 2025'te $1 milyon değerinde bir istismar yaşadı, DeFi protokollerinin dış fiyat verilerine nasıl güvendiği konusundaki kritik güvenlik açıklarını ortaya çıkardı. Saldırı, borç verme protokolünün Base ve Optimism ağları üzerindeki operasyonlarını hedef alarak, oracle fiyat beslemelerini manipüle eden karmaşık bir flaş kredi istismar yoluyla fonları boşalttı.
Olay, blok zinciri güvenlik firması BlockSec Moonwell'in akıllı sözleşmelerini hedef alan şüpheli işlemleri tespit ettiğinde ortaya çıktı. Analizlerine göre, saldırganlar sarılmış yeniden stake edilmiş ETH'nin (wrstETH) fiyatını yaklaşık $5.8 milyon olarak yanlış raporlayan hatalı bir rsETH/ETH oracle beslemesini istismar ettiler - temel ETH'nin gerçek piyasa fiyatıyla karşılaştırıldığında bu devasa bir fazla değerleme idi.
Bu fiyatlandırma hatasını kullanarak, saldırganlar minimum teminata karşı önemli miktarda kripto para ödünç almalarına izin veren tekrar eden flaş kredi saldırıları gerçekleştirdi. Güvenlik firması CertiK rapor etti ki saldırgan, yalnızca ~0.02 wrstETH flaş krediyle ve yatırarak 20 wstETH üzerinde ödünç almayı tekrar tekrar başardı. Oracle arızası nedeniyle.
İstismar nihayetinde saldırgana yaklaşık 295 ETH kazandırdı, bu da yaklaşık $1 milyon değerindeydi.
Güvenlik Açıklarının Deseni
Bu son ihlal, üç yıl içinde Moonwell için dördüncü büyük güvenlik olayını temsil ediyor ve protokolün güvenlik altyapısı hakkında ciddi sorular ortaya çıkarıyor. Platform daha önce Ekim 2025'te $1.7 milyon kaybetmişti tarife açıklamaları tarafından tetiklenen bir piyasa çökmesi sırasında, oracle-DEX fiyat boşlukları saldırganların tasfiye mekanizmalarını istismar etmesine izin verdiğinde.
Aralık 2024'te, Moonwell $320,000'lik bir flaş kredi saldırısına uğradı USDC borç verme sözleşmesini hedef alan. Kötü niyetli bir sözleşme "mToken" olarak gizlenmiş, yetkisiz token onayları sağladı. Saldırgan, Tornado Cash kullanarak cüzdanı finanse etti ve çalınan USDC'yi DAI ile hızla takas etti, yetkililer yanıt verene kadar.
Protokol ayrıca 2022'deki Nomad Bridge olayına ilişkin sorunlar da yaşadı, ancak kesin finansal etki belirsizliğini koruyor. Bu endişe verici geçmiş kayıt, güvenlik denetçisi QuillAudits'in "Bir başka gün, bir başka Moonwell istismarı. 3 yılda 4. büyük olay." notunu düşmesine neden oldu.
Pazar Etkisi ve Yatırımcı Güveni
İstismar, Moonwell ekosisteminde anında yankılanmalara yol açtı. Haberin ardından WELL token, tek bir günde %13.5 düşüş yaşadı, bu da daha geniş kripto para piyasasının %3.95 düşüşünden önemli ölçüde daha kötüydü. 4 Kasım itibariyle, WELL yaklaşık $0.0155 seviyesinde işlem görmekteydi ve bu, son ayda %51'lik bir düşüşü temsil ediyor, ve tüm zamanların en yükseklerinden %96'nın üzerinde kayıplar genişlemekteydi.
Zamanlama Moonwell için özellikle talihsiz oldu, zira Ekim ayında rekor kıran ücret gelirlerini yeni bildirmişti, Base ve Optimism'de borç verenlere ve rezervlere $2.12 milyon dağıtıyordu. Platform bu başarıyı "artmış ödünç alma talebi → daha yüksek oranlar → daha fazla gelir → her ay yapılan rezerv açık artırmalarında daha fazla WELL elde edilmesi" olarak atfetmişti. Ancak son güvenlik ihlali bu olumlu metriklerin üzerine gölge düşürdü ve protokolden sermaye çıkışları konusunda endişeleri artırdı.
Yatırımcıya yönelik bir başka endişe sebebi, Moonwell'in Immunefi üzerindeki hata avı programını durdurması oldu.