去中心化金融平台 Moonwell在2025年11月4日遭遇了100万美元的漏洞, 揭露了DeFi协议在依赖外部价格数据时的关键漏洞。 这次攻击针对的是贷款协议在Base和Optimism网络 上的操作,通过操纵预言机价格数据的复杂闪电贷攻击来抽走资金。
事件始于区块链安全公司BlockSec检测到针对Moonwell智能合约的可疑交易。 根据他们的分析,攻击者利用了一个错误的rsETH/ETH预言机数据流, 该数据流错误地报告了重新质押的ETH包裹(wrstETH)价格为每枚约580万美元, 而实际市场价格低于3500美元。
利用这一定价错误,黑客执行了重复的闪电贷攻击,使其能够以极少的抵押借款来 借用大量加密货币。安全公司CertiK报告指出,由于预言机故障, 攻击者“能用仅约0.02 wrstETH的闪电贷借款并存入, 而反复借走超过20个wstETH”。
漏洞最终让黑客获取约295 ETH,估值约为100万美元。
漏洞的惯性模式
这一最新漏洞是Moonwell三年来的第四次重大安全事件, 引发了对该协议安全基础设施的严重质疑。 该平台早在2025年10月因市场崩溃 而损失170万美元, 当时预言机-DEX价格差距使攻击者能够利用清算机制。
在2024年12月,Moonwell遭遇了一个320,000美元的闪电贷攻击, 针对其USDC贷款合约, 一个伪装成“mToken”的恶意合约授予了未经授权的代币批准。 攻击者使用Tornado Cash为钱包提供资金,并迅速将 被盗的USDC兑换成DAI,以在当局响应之前行动。
该协议还经历了2022年Nomad Bridge事件相关的问题, 尽管确切的财务影响尚不清楚。 这一令人不安的记录促使安全审计公司QuillAudits指出:“又一天,又一个Moonwell漏洞。 3年中的第4次重大事件”。
市场影响和投资者信心
漏洞在Moonwell的生态系统中立即引发动荡。 WELL代币在攻击发生后一日内暴跌13.5%, 远远高于整个加密货币市场3.95%的降幅。 截至11月4日,WELL交易价格约为0.0155美元, 比上个月下降51%并使损失扩展至历史最高点超过96%。
对于Moonwell来说,时机尤其不利, 因为其刚刚公布了10月份创纪录的费用收入, 向Base和Optimism上的贷款人和储备分发了212万美元。 该平台将此成功归因于“借款需求增加→利率更高→收入更多→ 每月储备拍卖中收购的WELL更多”。 然而,最新的安全漏洞掩盖了这些正面指标并引发了对 资本从协议中流出的担忧。
增加投资者的不安, Moonwell在2025年早些时候终止其Immunefi上的漏洞赏金计划, 就在这些重大攻击事件发生的几个月前。 鉴于随后的安全失败,现在这一决定显得有些值得质疑。
DeFi中的预言机问题
Moonwell事件突显了去中心化金融面临的一个根本性挑战: 依赖于被称为预言机的外部数据源。 这些系统为智能合约提供现实世界的信息, 例如资产价格,但它们也会引入潜在的故障点。
在这种情况下,漏洞源于rsETH/ETH价格数据流中的链外预言机漏洞, 可能由Chainlink提供。 安全分析师指出,预言机配置包括“过时的心跳间隔和广泛的偏差阈值”, 允许在触发更新前发生显著价格偏差。
攻击方法本身很复杂。 使用闪电贷——必须在单个交易内偿还的无抵押贷款—— 黑客基于错误的预言机数据 抬高了抵押品的价值。 由于协议将小小的0.02 wrstETH存款估值为超过116,000美元, 攻击者每个交易能借走20个wstETH, 跨多次操作耗尽Moonwell的储备。
区块链分析师认为MEV(最大可提取价值)机器人可能参与了漏洞的识别和利用, 突显了自动交易系统如何迅速利用协议弱点。
更广泛的DeFi安全危机
Moonwell漏洞发生在去中心化金融的特别动荡时期。 就在前一天,11月3日,Balancer遭受了毁灭性的1.28亿美元攻击。