Децентралізована фінансова платформа Moonwell зазнала експлойту на суму 1 мільйон доларів 4 листопада 2025 року, що розкрило критичні вразливості в тому, як протоколи DeFi покладаються на зовнішні дані про ціни. Атака була націлена на операції протоколу кредитування на мережах Base і Optimism, вичерпуючи кошти через складний експлойт флеш-позик, який маніпулював оракульними каналами цін.
Інцидент стався, коли компанія, що займається безпекою блокчейна, BlockSec виявила підозрілі транзакції, націлені на смарт-контракти Moonwell. За їхнім аналізом, нападники використали несправний канал оракулу rsETH/ETH, який неправильно повідомив ціну загорнутого повторно вставленого ETH (wrstETH) на рівні приблизно 5,8 млн доларів за токен - значне переоцінювання порівняно з фактичною ринковою вартістю менше 3,500 доларів за підлеглий ETH.
Використовуючи цю помилку в ціноутворенні, хакер здійснив повторювані флеш-атаки, які дозволили їм брати значні суми криптовалюти під мінімальне заставне покриття. Фірма з безпеки CertiK повідомила, що нападник «зміг неодноразово брати у позику більш ніж 20 wstETH зі всього ~0,02 wrstETH флеш-позики та депонування» через несправність оракулу.
Експлойт в кінцевому результаті приніс хакеру приблизно 295 ETH, вартістю близько 1 млн доларів.
Патерн вразливостей
Цей останній злом є четвертим великим інцидентом безпеки для Moonwell за три роки, що викликає серйозні питання про інфраструктуру безпеки протоколу. Платформа раніше втратила 1,7 мільйона доларів у жовтні 2025 року під час ринкового обвалу, спричиненого оголошеннями про тарифи, коли розриви цін оркаул-DEX дозволяли нападникам використовувати механізми ліквідації.
У грудні 2024 року Moonwell зазнала атаки флеш-позики на суму 320,000 доларів, націленої на її кредитний контракт USDC, де зловмисний контракт, замаскований як "мТокен", надавав неавторизовані дозволи на токени. Нападник використовував Tornado Cash для фінансування гаманця і швидко обміняв вкрадені USDC на DAI до того, як влада змогла відреагувати.
Протокол також зазнав проблем, пов'язаних з інцидентом на мосту Nomad у 2022 році, хоча точний фінансовий вплив залишається незрозумілим. Цей тривожний послужний список спонукав аудитора безпеки QuillAudits зазначити: «Ще один день, ще один експлойт Moonwell. 4-й значний інцидент за 3 роки.»
Вплив на ринок і довіра інвесторів
Експлойт спричинив негайні коливання в екосистемі Moonwell. Токен WELL обрушився на 13,5% за один день після новин про атаку, значно гірше, ніж падіння криптовалютного ринку в 3,95%. На 4 листопада WELL торгувався приблизно на рівні 0,0155 долара, що представляє зниження на 51% за останній місяць і продовжував втрати з пікових значень понад 96%.
Час виявився особливо невдалим для Moonwell, який щойно повідомив про рекордні доходи від комісій у жовтні, розподіливши 2,12 мільйона доларів кредиторам і фондам на Base та Optimism. Платформа приписує цей успіх «зростанню попиту на позики → вищими ставками → більше доходу → більше WELL, придбаних на аукціонах резервів кожного місяця». Однак остання проблема з безпекою затьмарила ці позитивні метрики і викликала занепокоєння щодо відтоку капіталу з протоколу.
Додатково, до невдоволення інвесторів, Moonwell припинив свою програму виявлення вразливостей на Immunefi раніше в 2025 році, всього за кілька місяців до цих масових атак. Це рішення тепер здається сумнівним, враховуючи наступні збої безпеки.
Проблема оракулів у DeFi
Інцидент з Moonwell підкреслює фундаментальну проблему, з якою стикається децентралізоване фінансування: залежність від зовнішніх джерел даних, званих оракули. Ці системи надають смарт-контрактам інформацію з реального світу, таку як ціни на активи, але вони створюють потенційні точки збоїв.
У цьому випадку експлойт виник через уразливість оракулу поза ланцюгом у каналі цін rsETH/ETH, можливо, надану Chainlink. Аналітики безпеки зазначали, що налаштування оракулу включало "архаїчні інтервали серцебиття та широкі пороги відхилень", що допускають значні відхилення цін перед ініціацією оновлень.
Сам метод атаки був складним. Використовуючи флеш-позики - некалларатиту позики, які мають бути повернені в межах однієї транзакції - хакер підвищив вартість застави на основі несправних даних оракулу. Оскільки протокол оцінив малу депозит у 0.02 wrstETH в понад 116,000 доларів, хакер міг брати в позику 20 wstETH за транзакцію, виснажуючи резерви Moonwell в кількох операціях.
Аналітики блокчейну вважають, що MEV (максимально витягується вартість) боти могли брати участь у виявленні та експлуатації вразливості, підкреслюючи, як автоматизовані системи торгівлі швидко користуються слабкими сторонами протоколу.
Ширший криза безпеки в DeFi
Експлойт Moonwell відбувся в надзвичайно турбулентний період для децентралізованих фінансів. Всього за день раніше, 3 листопада, Balancer зазнав руйнівної атаки на 128 мільйонів доларів, яка вразила його V2 пули на численних блокчейнах, включаючи Ethereum, Berachain, Arbitrum, Base, Optimism, і Polygon.
Атака Balancer експлуатувала уразливість у контролі доступу в "посилених пулах" протоколу і функції "manageUserBalance", незважаючи на те, що кодова база пройшла 11 окремих аудиту безпеки з 2021 року. Ця перевірка на реальність показала, що навіть великі аудити не можуть гарантувати безпеку протоколу.
Крім того, Berachain, блокчейн сумісний з Ethereum, рівня 1, зазнав експлойту, пов'язаного з трипулом Ethena/Honey. Фонд Berachain тимчасово призупинив свою мережу для запобігання подальшому збитку, пояснюючи: «Коли на кону близько 12 мільйонів доларів користувацьких коштів... ми спробували координувати набір валідаторів, щоб захистити цих користувачів.»
Разом ці три інциденти на початку листопада 2025 року стерли як мінімум 222 мільйони доларів з протоколів DeFi, згідно з The Block, розкриваючи глибоко взаємопов'язану природу систем ліквідності і забезпечень у блокчейн-мережах.
Заключні думки
Хоча дані PeckShield показують, що втрати від хакерських атак на DeFi у жовтні знизилися на 85.7% до 18.18 мільйона доларів у 15 інцидентах - в порівнянні з понад 127 мільйонів у вересні - листопадові атаки демонструють, що значні вразливості все ще існують. Маніпуляції з оракулами та експлойти флеш-позик залишаються серед найбільш ефективних методів атак проти протоколів DeFi.
Експерти галузі стверджують, що ці інциденти, ймовірно, підштовхнуть вимоги до суворіших вимог щодо перевірки оракулів і багатоджерельних систем перевірки цін. Протоколи DeFi можуть мати потребу у впровадженні більш надійних перевірок розумності цін, швидших інтервалів серцебиття для оновлень оракулів і запобіжників, які зупиняють операції, коли виявляються незвичайні цінові рухи.
Для Moonwell зокрема, шлях до відновлення довіри виглядає складним. З загальною заблокованою вартістю, що знижується з майже 400 мільйонів до приблизно 234 мільйонів доларів перед останньою атакою, і подальшими очікуваними зниженнями, протокол стикається з тиском на впровадження комплексних оновлень безпеки та можливу компенсацію постраждалим користувачам.
Експлойти листопада 2025 року служать яскравим нагадуванням про те, що, незважаючи на роки розвитку та мільярди доларів, заблоковані в протоколах DeFi, сектор залишається вразливим до складних атак. З ростом впровадження і збільшенням інституційного капіталу, що витікає у децентралізоване фінансування, нагальна потреба в посиленні заходів безпеки, кращих системах оракулів і більш комплексному управлінні ризиками ніколи не була настільки критичною.