Moonwell Hit by $1M Exploit After Oracle Pricing Error

Moonwell Hit by $1M Exploit After Oracle Pricing Error

N
News Editor 01
2026-07-07 09:43:03
Multi-chain lending protocol Moonwell lost about $1 million after attackers exploited flawed oracle pricing data tied to rsETH/ETH feeds. The incident pressured the WELL token, triggered user withdrawals, and renewed concerns over oracle reliability in DeFi.

多链DeFi借贷协议Moonwell近日遭遇安全事件。根据披露信息,此次攻击与预言机价格数据异常有关,导致协议被攻击者利用闪电贷与错误报价完成套利,累计损失约100万美元。这一事件发生在另一知名DeFi协议Balancer遭遇更大规模黑客事件后的次日,使市场对以太坊生态DeFi安全性再度提高警惕。

安全监测平台BlockSec Phalcon最先发现Moonwell在Base和Optimism网络上的一系列异常资金流出,并发出预警。初步分析认为,问题出在链下预言机提供的rsETH/ETH价格喂价,相关错误被攻击者,或可能被MEV机器人,迅速捕捉并放大利用。尽管Moonwell并未在事件发生后第一时间作出详细说明,但链上行为已经勾勒出本次攻击的主要路径。

攻击路径:错误报价叠加闪电贷套利

从已公开的链上数据看,攻击者利用了特定包装ETH资产之间的定价偏差,以极低抵押借入更多价值资产并立即进行交易获利。报道显示,攻击过程依赖于一个极端失真的报价:攻击者可用0.00002 wrstETH作为抵押借出20枚wstETH,随后在市场上完成兑换并赚取差额,最终获利约295 ETH

更关键的是,这一异常并非来自合约本身的传统编码漏洞,而是来自外部价格输入。相关数据指出,预言机曾返回每枚wrstETH高达580万美元的离谱价格,令借贷逻辑在“合法输入”下出现严重偏差。报道提到,Moonwell使用了Chainlink相关价格数据,而此次事故也让市场重新审视:即便是行业头部预言机方案,在复杂资产、低流动性交易对或链下数据环节上,依然可能存在失真风险。

攻击者借助闪电贷机制,在同一区块内完成借入、交易和偿还操作,使风险暴露窗口极短,也大幅增加了协议实时风控的难度。若这一类价格异常未设置上限保护、偏离报警或熔断机制,攻击者便可反复执行,快速放大收益。

Moonwell已是近年第四次重大安全事件

Moonwell并非新项目,而是一个部署在Base、Optimism、Moonbeam和Moonriver等多条链上的借贷协议。根据报道,截至2025年11月,Moonwell借贷金库总锁仓规模约为2.13亿美元。不过,较长运营历史并未让其彻底摆脱安全隐患。

资料显示,这已是Moonwell在过去三年中的第四次重大安全事件。由于其为Compound V2的分叉项目,也被认为继承了部分旧有架构风险。此前,Moonwell曾在2025年10月10日发生坏账事故,损失约170万美元;在2024年12月还曾遭遇一次闪电贷攻击,损失约32万美元;更早在2022年,协议也曾受到跨链桥攻击波及。

报道还指出,本次事件与10月的攻击有相似之处,这引发外界质疑:协议团队是否未能及时修复核心问题。链上数据甚至显示,可能还存在一次相似攻击,曾通过错误定价获取269 ETH,但当时未被团队或研究人员及时识别。

WELL代币下跌,用户信心受挫

安全事件发生后,Moonwell原生代币WELL迅速下挫,跌幅超过15%,价格一度降至0.011美元。对DeFi项目而言,直接资金损失往往只是表层影响,更深远的打击来自声誉受损、用户流失以及代币估值承压。

此次事件后,Moonwell稳定币金库出现明显提款潮,用户集中撤出USDC等资产,呈现出典型的“挤兑”迹象。在资金迅速流出的背景下,协议有效年化收益率一度被推高至168%。这种APY飙升并不意味着收益质量改善,反而通常反映池中流动性骤减、市场对协议风险溢价显著提升。

在Balancer事件余波未平的背景下,Moonwell再度遭攻击,使市场情绪更加谨慎。投资者对DeFi借贷协议的关注点,已从单纯的代码审计转向更全面的风险体系,包括预言机设计、资产上市标准、流动性深度以及极端行情下的自动保护机制。

市场影响:预言机信任机制再受拷问

从行业层面看,Moonwell事件再次表明,DeFi协议的风险并不只来自“合约漏洞”,还包括价格喂价、外部依赖和跨协议组合风险。尤其是借贷协议,一旦价格源头失真,清算、抵押率、借款上限与坏账控制都会失去基础。即使协议完成多轮审计,也未必能覆盖实时数据源异常带来的系统性风险。

对市场而言,本次事故可能带来三方面影响:其一,投资者将更加重视协议对预言机的冗余设计,例如多源报价、偏离阈值校验与应急暂停机制;其二,中小型或流动性较弱的LST/LRT类资产,未来在借贷协议中的上架门槛可能提升;其三,Base与Optimism等二层生态中的借贷协议,或将面临更严格的风控审查。

总体来看,Moonwell此次约100万美元的损失规模虽然不及近期部分头部安全事件,但其暴露出的问题具有代表性:当DeFi协议承载更多资金、更多复杂资产时,任何一个外部数据组件的异常,都可能迅速演变为链上套利窗口。对整个行业而言,这不仅是一次单一协议的受损事件,更是对DeFi基础设施稳健性的一次警示。

This article was originally published by Bit.Fan. For more cryptocurrency news and market insights, visit www.bit.fan.
300

Disclaimer:

The market information, project data, and third-party content displayed on this platform are for industry information sharing only and do not constitute any form of investment advice or return commitment.

Cryptocurrency trading carries high risks. Users should fully assess their risk tolerance and make independent decisions. All profits, losses, and legal responsibilities are borne by the users themselves.