去中心化金融平台 Moonwell 於 2025 年 11 月 4 日被攻擊損失 100 萬美元,嚴重曝露了 DeFi 協議依賴外部價格資料的關鍵漏洞。這次攻擊針對 lending protocol 在 Base 與 Optimism 網絡上的操作,透過複雜的閃電貸操作操縱預言機報價,將資金轉移一空。
事件發生時,區塊鏈安全公司 BlockSec 首先偵測到針對 Moonwell 智能合約的可疑交易。依據分析,攻擊者利用了錯誤的 rsETH/ETH 預言機報價,將包裹後的再質押 ETH(wrstETH)價格錯估為每枚約 580 萬美元,遠高於實際不到 3,500 美元的市場價。
利用這一價格錯誤,駭客多次操作閃電貸,幾乎無需抵押就能大量借幣。安全公司 CertiK 回報,駭客「僅用約 0.02 枚 wrstETH 閃電貸存入,即可反覆借出超過 20 枚 wstETH」,均源於預言機異常。
這次攻擊最終讓攻擊者套取了約 295 枚 ETH,市值約 100 萬美元。
安全漏洞的連續模式
這次事件是 Moonwell 三年來第 4 次重大安全事故,外界對協議的安全基礎提出疑慮。該平台曾於 2025 年 10 月損失 170 萬美元,當時因關稅政策公告引發市場暴跌,預言機與去中心化交易所價格出現落差,導致駭客利用清算機制套利。
2024 年 12 月,Moonwell 遭遇 32 萬美元閃電貸攻擊,駭客用一份偽裝成「mToken」的惡意合約進行未授權代幣批准。攻擊者透過 Tornado Cash 資助錢包,並將竊取的 USDC 迅速換成 DAI,安全部門來不及處理。
協議也曾於 2022 年涉及 Nomad Bridge 事件,但實際損失金額未明。這一長期的安全問題讓 QuillAudits 安全審計指出:「又有一起 Moonwell 攻擊。三年內第 4 件重大事故。」
市場影響與投資人信心
攻擊對 Moonwell 生態系統產生立刻衝擊。WELL 代幣單日暴跌 13.5%,遠高於整體加密市場 3.95% 跌幅。截至 11 月 4 日,WELL 價格約 0.0155 美元,近一個月跌幅達 51%,自歷史高點回落超過 96%。
對於 Moonwell 更雪上加霜的是,他們剛在 10 月創下手續費收入新高,向 Base 和 Optimism 上的出借人和儲備分配了 212 萬美元。平台稱這得益於「借款需求增→利率高→收入增→每月儲備拍賣回購 WELL 增」。然而,最新的安全漏洞完全蓋過了這些正面數據,也讓資金流出壓力升高。
此外,Moonwell 已於 2025 年初 停止在 Immunefi 上的漏洞懸賞計畫,僅數月後就接連發生重大安全事故,讓更多投資人質疑平台決策。
DeFi 的預言機難題
Moonwell 事件凸顯去中心化金融的基本挑戰:依賴所謂預言機的外部數據來源。這些系統為智能合約提供現實價格,但也引入潛在風險。
這次攻擊起源自 rsETH/ETH 價格源的鏈下預言機漏洞,疑似由 Chainlink 提供。安全分析指出該預言機設計有「過時的心跳間隔與過寬容調整範圍」,導致嚴重價格偏差時才觸發更新。
攻擊過程極為精細。駭客利用閃電貸—無抵押且需於單一交易內歸還的特殊貸款方式—在預言機錯價下大幅膨脹抵押品價值。由於協議把微不足道的 0.02 枚 wrstETH 估為 11.6 萬美元,駭客每筆操作可借出 20 枚 wstETH,連環將 Moonwell 資金池掏空。
區塊鏈分析師認為,這次可能有 MEV(最大可提取價值)機器人參與挖掘與利用漏洞,反映自動化交易系統能極速放大利用協議缺陷。
更廣泛的 DeFi 安全危機
Moonwell 遭駭之際,整個去中心化金融領域正在經歷最動盪時刻。僅提前一天,11 月 3 日,Balancer 遭駭損失 1.28 億美元,池組遍及 Ethereum、Berachain、Arbitrum、Base、Optimism 以及 Polygon 等多條鏈。
Balancer 被駭主因是其「boosted pools」與「manageUserBalance」功能存有訪問控制漏洞,即使自 2021 年起已做過 11 次安全審計,仍無法阻擋資金漏洞。這說明即便嚴格審計也無法保證協議安全。
此外,兼容以太坊的 L1 區塊鏈 Berachain 也遭遇與 Ethena/Honey 三池事件相關的漏洞。官方為防止損失擴大臨時暫停區塊鏈營運,首席 Smokey The Bera 表示:「約有 1200 萬美元用戶資金岌岌可危……我們試圖協調驗證者集合以保護用戶資金。」
僅在 2025 年 11 月初發生的這 3 起 DeFi 駭客案,據 The Block 統計,已使相關協議損失至少 2.22 億美元,凸顯區塊鏈間流動性與抵押品系統的高度連結性。
最後想法
雖然 PeckShield 數據顯示 10 月 DeFi 損失金額大降 85.7%,僅 1,818 萬美元、共 15 起事件,較 9 月的 1.27 億明顯改善,但 11 月一連串攻擊表明重大漏洞仍普遍存在。預言機操控和閃電貸仍是攻擊 DeFi 協議最有效路徑之一。
業界專家認為,這些事故將促使生態系加速引入更嚴格的預言機驗證規範和多來源報價系統。DeFi 協議可能需加強價格合理性檢查、調高預言機更新頻率、並設立異常價格斷路開關等機制。
就 Moonwell 而言,重建信心之路極為艱鉅。協議 TVL 曾逼近 4 億美元高峰,攻擊前僅剩約 2.34 億,未來恐進一步下滑,平台必須大幅提升安全機制,甚至考慮補償受損用戶。
2025 年 11 月這波 DeFi 攻擊提醒我們:即使經年發展、總鎖倉金額數十億美元,區塊鏈金融仍然難以抵抗高階駭客。隨著應用普及與機構資金流入,DeFi 需要更強大的安全體系、更健全的預言機機制,以及更全面的風險管理標準。