去中心化金融平台 Moonwell於2025年11月4日遭一百萬美元黑客攻擊,揭示DeFi協議對外部價格數據依賴的嚴重漏洞。攻擊針對其在Base與Optimism網絡上的借貸協議,黑客透過精密的閃電貸操作操控oracle價格來源,大量套現資金。
事件曝光始於區塊鏈安全公司BlockSec偵測到針對Moonwell智能合約的可疑交易。按其分析,攻擊者利用了一個失效的rsETH/ETH oracle來源,該oracle將包裝restaked ETH(wrstETH)的價格錯誤地標記為約580萬美元一枚,遠超實際的ETH市價(低於3,500美元)。
憑這個報價失誤,黑客重複進行閃電貸,僅需極少抵押品就能借出大量加密貨幣。安全公司CertiK報告稱,得益於oracle錯誤,攻擊者「每次僅需閃電貸及存入約0.02 wrstETH,即可重複借出超過20枚wstETH」。
最終,黑客成功提取約295枚ETH,市值約一百萬美元。
持續出現的漏洞
這次事故是Moonwell三年內第四宗重大安全事件,對其安全基礎設施再次引起質疑。該平台曾於2025年10月因關稅消息觸發市場暴跌時損失170萬美元,oracle及DEX價格脫節讓攻擊者有機會操控清算機制。
2024年12月,又遭三十二萬美元閃電貸攻擊,黑客用一個偽裝成「mToken」的惡意合約取得未經授權的代幣批准,利用Tornado Cash注資並迅速將竊取的USDC兌換成DAI。
該協議亦曾受到2022年Nomad Bridge事件波及,雖無明確損失金額記錄。此一不良記錄令審計公司QuillAudits直言:「又一天,又一宗Moonwell黑客事件,3年內第4宗。」
市場震蕩與投資者信心
這次黑客事故即時對Moonwell帶來衝擊。WELL代幣單日急跌13.5%,較整體幣圈3.95%的跌幅嚴重。截至11月4日,WELL報價僅約0.0155美元,一個月內已跌51%,距歷史高位更蒸發超過96%。
更諷刺的是,Moonwell剛於10月份創下歷史最高手續費收入,向Base及Optimism網絡的貸方與準備金派發212萬美元。平台將其歸因於「借貸需求上升→利率上升→收入提升→每月回購更多WELL」。然而,最新黑客事件掩蓋了這些成績,並加劇資金外流的隱憂。
此外,Moonwell於2025年初已中止Immunefi漏洞懸賞計劃,這一決定在此輪安全危機中顯得更為值得商榷。
DeFi中的Oracle問題
Moonwell事件凸顯了DeFi根本結構性挑戰:對於外部Oracle數據源的依賴。Oracle負責為智能合約提供現實世界資產價格數據,但也成為潛在失效點。
今次黑客利用的是rsETH/ETH報價Oracle的鏈下漏洞,或由Chainlink提供。安全分析發現其 Oracle 設定「心跳間隔過舊,允許偏差過大」,致價格異常無法及時修正。
攻擊技術亦極為進階。黑客利用閃電貸(通過單次交易快速借還,無需抵押)將0.02 wrstETH的抵押價值被oracle錯誤賦為逾11.6萬美元,每次可借20枚wstETH,重複操作抽乾Moonwell儲備。
區塊鏈分析師認為MEV(最大可提取價值)機械人或有參與其中,反映自動化套利工具如何迅速捕捉合約漏洞。
DeFi安全危機擴大
Moonwell被攻擊之時,正值DeFi出現動盪。僅在前一日,即11月3日,Balancer遭受1.28億美元致命黑客攻擊,影響其V2資金池,跨多條鏈(包括Ethereum、Berachain、Arbitrum、Base、Optimism、Polygon)。
Balancer攻擊源於「boosted pools」及「manageUserBalance」功能的權限控制漏洞,即使自2021年後歷經11次專業安全審計仍未能挽救。這充分顯示光有審計未能保證協議無漏洞。
另外,與Ethena/Honey三資金池有關的漏洞也令Berachain(兼容以太坊的L1公鏈)遭黑客鎖定。Berachain基金會一度暫停網絡,首席Smokey The Bera表示:「約一千二百萬美元用戶資金受威脅……我們試圖協調驗證者名單以保障用戶。」
綜合這三宗2025年11月初的事故,據The Block估算,DeFi協議損失合共不少於2.22億美元,凸顯區塊鏈跨協議資金流動高度互聯。
結語
雖然PeckShield數據顯示10月DeFi黑客損失同比下降85.7%至1,818萬美元,但11月的幾宗大型攻擊證明漏洞依然嚴重。Oracle操弄及閃電貸仍是最常見的高效攻擊手段。
行業專家認為,這些事件將加速各方對Oracle驗證及多源價格驗證要求的呼聲。DeFi協議或需實施更嚴格的價格合理性檢查、縮短oracle更新心跳間隔,並引入異常波動自動暫停等機制。
對於Moonwell而言,信心重建路途困難。其總鎖倉價值從高峰近4億美元跌至最新的2.34億美元,隨後或進一步下降,平台面臨壓力必須徹底升級安全,甚至考慮賠償受害者。
2025年11月的多宗安全事故警示大家,儘管DeFi協議發展多年、價值高達數十億美元,但依然難免高級黑客攻擊。隨著用戶和機構加大投入,強化協議安全、改良Oracle系統,以及完善風險管理變得前所未有地迫切。