Close Menu
    InfoCryptofr Moonwell Perd 178M$ sur un Bug Oracle cbETH
    #post_seo_title
    Actualités

    Moonwell Perd 1,78M$ sur un Bug Oracle cbETH

    Steven SoarezDe Aucun commentaire7 Mins de Lecture

    Imaginez que du jour au lendemain, votre maison vaille soudainement un euro au lieu de plusieurs centaines de milliers. Les créanciers se précipitent, saisissent tout ce qu’ils peuvent pour une bouchée de pain, et vous vous retrouvez avec une montagne de dettes ingérables. C’est exactement ce qui vient d’arriver à des centaines d’utilisateurs de Moonwell, un protocole de prêt décentralisé pourtant réputé solide… jusqu’à ce 18 février 2026.

    En quelques heures seulement, environ 1,78 million de dollars se sont évaporés des pools de liquidité du protocole à cause d’une erreur de valorisation catastrophique sur le cbETH, le wrapped staked ETH de Coinbase. Le responsable ? Un bug dans la logique de l’oracle, et selon les premières déclarations officielles, une partie de cette logique aurait été… générée par une IA.

    Un incident qui marque un tournant dans la DeFi

    Les oracles sont le nerf de la guerre dans la finance décentralisée. Sans eux, aucun prêt, aucun emprunt, aucune liquidation ne peut se faire de manière fiable. Quand un oracle se trompe, c’est tout l’édifice qui vacille. Et cette fois, l’erreur n’était pas une manipulation externe classique : elle provenait directement du code interne du protocole.

    Comment le cbETH s’est retrouvé valorisé à 1 $

    Le cbETH est un token qui représente de l’ETH staké via Coinbase. Sa valeur suit logiquement celle de l’ETH, majorée des récompenses de staking accumulées. Le 18 février 2026, son prix réel oscillait autour de 2 200 $. Pourtant, l’oracle intégré à Moonwell affichait brutalement… 1,12 $.

    Ce n’est pas une petite décimale mal placée. C’est une erreur d’un facteur 2 000. Résultat : le ratio de collatéralisation s’est effondré. Un utilisateur pouvait déposer 1 cbETH (valeur réelle ~2 200 $) et emprunter l’équivalent de presque toute cette somme en stablecoins ou autres actifs, car le protocole pensait que le collatéral ne valait qu’un dollar.

    « Une simple erreur de scaling dans la formule de l’oracle a suffi à rendre le système complètement aveugle à la vraie valeur du cbETH. »

    Extrait du postmortem préliminaire de Moonwell

    Les liquidateurs et les bots d’arbitrage n’ont pas mis longtemps à repérer l’aubaine. En quelques minutes, des positions massives ont été ouvertes, puis liquidées à profit. Chaque liquidation rapportait aux bots l’équivalent de milliers de dollars réels pour un remboursement symbolique d’un dollar virtuel.

    Le rôle inattendu de l’intelligence artificielle

    Ce qui rend cet incident particulièrement troublant, c’est l’origine supposée du bug. Selon plusieurs sources proches du dossier et un tweet du compte Web3 Antivirus, une partie significative de la logique de pricing de l’oracle aurait été co-écrite avec Claude Opus 4.6, le modèle d’Anthropic considéré comme l’un des plus performants en 2026 pour la génération de code complexe.

    Ce que l’on sait à ce stade sur l’utilisation de l’IA :

    • Le développeur cherchait à optimiser la formule de conversion entre unités wei et dollars
    • Claude a proposé une nouvelle implémentation plus « lisible »
    • La proposition incluait un facteur de scaling mal interprété
    • Le code a été revu rapidement, mais l’erreur de décimale est passée inaperçue
    • Aucune revue formelle par un auditeur externe n’a eu lieu sur cette portion

    Pour la première fois de manière documentée, un exploit majeur en DeFi semble directement imputable à une suggestion d’un grand modèle de langage. Cela pose des questions fondamentales sur la manière dont les équipes intègrent désormais l’IA dans leurs workflows critiques.

    Conséquences immédiates pour les utilisateurs et le protocole

    En l’espace de moins de quatre heures, les liquidateurs ont saisi environ 1 096 cbETH. Au prix réel du marché, cela représente plus de 2,4 millions de dollars de collatéral. Mais comme les emprunts avaient été effectués sur la base d’un collatéral fantôme à 1 $, le protocole se retrouve avec un trou de 1,78 million de dollars.

    Moonwell a rapidement mis en pause les marchés concernés et communiqué sur X (anciennement Twitter) pour rassurer la communauté. Une proposition de gouvernance devrait être soumise dans les prochains jours pour décider de la socialisation de la perte ou d’un recours à la trésorerie du DAO.

    Les oracles : talon d’Achille éternel de la DeFi

    Cet incident n’est malheureusement pas une première. Depuis les débuts de la DeFi en 2020, les problèmes d’oracles ont causé certains des hacks les plus coûteux :

    • Harvest Finance (2020) – manipulation de prix Curve → 24 M$
    • bZx (2020) – double flash loan oracle abuse → ~8 M$
    • Mango Markets (2022) – oracle spot/perp divergence → 110 M$
    • Exactly Protocol (2023) – mauvaise configuration TWAP → ~7 M$
    • Moonwell (2026) – bug interne scaling IA → 1,78 M$

    Ce qui change ici, c’est que l’erreur ne vient pas d’un attaquant extérieur qui manipule un flux de prix public. Elle est interne, humaine… et assistée par machine.

    L’IA dans le développement smart-contract : accélération ou bombe à retardement ?

    En 2026, il est devenu banal de voir des développeurs Web3 utiliser Copilot, Claude, Gemini ou DeepSeek pour générer des portions entières de contrats. Les gains de productivité sont indéniables : prototypage rapide, refactoring, génération de tests unitaires.

    Mais les smart-contracts financiers ne sont pas du code applicatif classique. Une virgule mal placée, un uint256 au lieu d’un int256, un facteur 1e8 au lieu de 1e18… et c’est plusieurs millions qui partent en fumée.

    « L’IA est excellente pour suggérer des patterns, mais terrible pour garantir l’exactitude financière à l’échelle atomique. »

    chercheur en sécurité blockchain anonyme

    Les cabinets d’audit les plus sérieux commencent déjà à exiger que les équipes déclarent explicitement quelle partie du code a été touchée par un LLM, et augmentent le nombre d’heures d’audit sur ces segments.

    Que faire maintenant pour Moonwell et ses utilisateurs ?

    Le protocole dispose encore d’une trésorerie conséquente et d’un token de gouvernance actif. Plusieurs scénarios sont sur la table :

    • Socialisation complète de la perte via inflation du token
    • Compensation partielle grâce à la réserve d’assurance
    • Poursuite judiciaire contre les liquidateurs les plus agressifs (peu probable)
    • Augmentation massive des exigences de collatéral sur cbETH temporairement
    • Mise en place d’un circuit-breaker sur les oracles à faible liquidité

    La communauté attend surtout des réponses claires sur le processus qui a mené à l’intégration de code IA sans revue suffisante.

    Leçons à retenir pour tout utilisateur DeFi en 2026

    Cet événement rappelle brutalement quelques vérités qu’on finit parfois par oublier :

    • Diversifiez vos collatéraux – ne mettez pas tout sur un seul wrapped asset
    • Surveillez les TVL et les health factors en temps réel – des outils comme DeFiLlama, Zapper ou Apy.vision peuvent alerter
    • Méfiez-vous des marchés peu liquides – cbETH reste un token de niche comparé à wstETH
    • Les oracles ne sont jamais infaillibles – même les meilleurs peuvent souffrir de bugs internes
    • L’IA n’est pas un auditeur – elle est un outil, pas un remplaçant à la rigueur humaine

    Pour Moonwell, l’incident est douloureux mais probablement pas fatal. Le protocole a déjà surmonté d’autres crises par le passé et dispose d’une communauté fidèle. Reste à savoir si cet événement accélérera une prise de conscience collective sur les dangers de l’automatisation non maîtrisée dans la finance décentralisée.

    Vers une nouvelle norme d’audit pour le code IA ?

    Les experts s’accordent à dire que les méthodologies d’audit vont devoir évoluer rapidement. Parmi les pistes évoquées :

    • Traçabilité complète de chaque ligne générée par LLM
    • Double revue obligatoire sur tout code touchant aux calculs financiers
    • Tests fuzzing systématiques sur les formules de pricing
    • Simulation de stress avec des écarts de prix extrêmes
    • Création de bounties spécifiques pour les bugs liés à l’IA

    Certains vont même jusqu’à proposer des “IA red teams” : des modèles adverses chargés de chercher des failles dans le code produit par d’autres modèles.

    Quoi qu’il en soit, l’affaire Moonwell restera probablement comme le premier cas emblématique où l’intelligence artificielle, censée sécuriser et accélérer le développement, a provoqué l’une des pertes les plus coûteuses de l’année.

    La DeFi continue d’apprendre à ses dépens. Et cette fois, l’erreur est venue de l’intérieur… assistée par une machine que beaucoup considéraient comme un allié infaillible.

    À suivre de très près dans les prochains jours : la proposition de gouvernance, les compensations éventuelles, et surtout les conclusions définitives du postmortem technique. Car derrière ce 1,78 million de dollars perdu, c’est peut-être tout un paradigme de développement qui est en train de vaciller.

    Partager

    Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

    D'autres Articles

    Ajouter un Commentaire
    Laisser une réponse