Das DeFi-Protokoll Moonwell hat am 15. Februar 2026 1,78 Millionen Dollar durch eine fehlerhafte Oracle-Konfiguration verloren. Der Code wurde von Claude Opus 4.6 co-authored, wie GitHub-Commits zeigen. Ein Halborn-Audit existierte, fand den Fehler jedoch nicht. Die Fehlkonfiguration bewertete cbETH mit 1 Dollar statt 2.200 Dollar, was Liquidations-Bots erlaubte, 1.096 cbETH für minimale Rückzahlungen zu liquidieren. Auditor Pashov bezeichnete es als ersten großen Hack durch vibe-coded Solidity.

In Kürze

*Anzeige
  • AI-generierter Code ohne menschliche Review-Fähigkeit: Das Two-Camp-Problem
  • Dritter Oracle-Exploit in sechs Monaten: Moonwell akkumuliert 7 Millionen Dollar Bad Debt
  • Proof of Human Review als Forderung: Was sich für AI-Code in DeFi ändern muss

AI-generierter Code ohne menschliche Review-Fähigkeit: Das Two-Camp-Problem

Cheqd-CEO Fraser Edwards identifiziert zwei Gruppen, die AI für Code verwenden. Erstens: Non-technical Founders, die AI prompting nutzen ohne die Fähigkeit, das Ergebnis zu reviewen. Zweitens: Experienced Developers, die AI für Refactors einsetzen und über etablierte Review-Prozesse verfügen.

Das Problem liegt in der ersten Gruppe. Wer Code nicht selbst schreiben kann, kann auch nicht beurteilen, ob AI-generierter Code korrekt ist. Das schafft eine strukturelle Schwachstelle.

Der Moonwell-Fall zeigt das Ergebnis: AI produzierte Code, der syntaktisch korrekt war, aber einen Low-Level-Bug enthielt. Ein erfahrener Entwickler hätte den Fehler bei manueller Review erkannt. Ein Audit hätte ihn ebenfalls finden müssen. Beides geschah nicht.

Moonwell AI Code Fehler

Die Governance genehmigte den Code über Proposal MIP-X43, ohne dass jemand die Oracle-Logik vollständig durchdrang. AI beschleunigt Entwicklung, eliminiert aber nicht die Notwendigkeit menschlicher Kompetenz. Wer diese Kompetenz nicht hat, überträgt Risiko an ein System, das Fehler nicht selbst erkennt.

Dritter Oracle-Exploit in sechs Monaten: Moonwell akkumuliert 7 Millionen Dollar Bad Debt

Moonwell hatte bereits im Oktober 2025 einen Oracle-Vorfall mit 12 Millionen Dollar Liquidationen und 1,7 Millionen Dollar Bad Debt. Im November 2025 folgte ein weiterer Exploit mit 3,7 Millionen Dollar Bad Debt. Der aktuelle Vorfall vom Februar 2026 fügt 1,78 Millionen Dollar hinzu. Gesamt: über 7 Millionen Dollar Bad Debt in drei Vorfällen innerhalb von sechs Monaten.

Das ist kein einzelnes technisches Versagen, sondern ein Muster. Oracle-Konfigurationen sind kritische Infrastruktur in DeFi-Protokollen. Sie bestimmen, wie Assets bewertet werden, wann Liquidationen ausgelöst werden und ob das Protokoll solvent bleibt. Fehler in dieser Schicht haben systemische Auswirkungen. Moonwell ist kein Einzelfall.

Ribbon Finance verlor im Dezember 2025 2,7 Millionen Dollar durch einen Decimal-Mismatch. Makina Finance verlor im Januar 2026 4 Millionen Dollar durch Flash-Loan-Manipulation. Oracle-Exploits sind ein wiederkehrendes Problem, weil sie die Schnittstelle zwischen On-Chain-Daten und externen Preisquellen darstellen. Diese Schnittstelle ist anfällig für Konfigurationsfehler, veraltete Daten und Manipulationen. AI-generierter Code verschärft das Problem, wenn Review-Prozesse nicht mithalten.

Proof of Human Review als Forderung: Was sich für AI-Code in DeFi ändern muss

Auditor Pashov fordert Proof of Human Review für AI-generierten Code in DeFi. Vibe-coded bedeutet, dass Code durch Prompting entsteht, ohne dass der Autor die Implementierung vollständig versteht. Das Ergebnis sieht funktional aus, enthält aber Low-Hanging Issues, die bei manueller Entwicklung nicht auftreten würden. Die Forderung nach Proof of Human Review ist pragmatisch: Wer AI-Code in Production bringt, muss nachweisen, dass ein kompetenter Entwickler den Code gelesen, verstanden und freigegeben hat.

Das schließt Non-Technical Founders nicht aus, zwingt sie aber dazu, Expertise einzukaufen. Ob sich das durchsetzt, ist offen. DeFi operiert ohne zentrale Standards. Protokolle entscheiden selbst, welche Prozesse sie implementieren. Nutzer können nur post-hoc beurteilen, ob ein Protokoll sicher war.

Der Markt wird entscheiden, ob Proof of Human Review zur Norm wird oder ob Protokolle ohne diese Garantie weiterhin Kapital anziehen. Der Moonwell-Fall liefert ein Argument für strengere Standards. Ob es reicht, zeigt sich erst, wenn die nächsten Exploits auftreten.

AI beschleunigt Entwicklung, eliminiert aber nicht die Notwendigkeit menschlicher Urteilskraft. Code ist nur so gut wie die Fähigkeit, ihn zu verstehen. Wer diese Fähigkeit nicht hat, delegiert Verantwortung an ein System, das keine Verantwortung übernehmen kann. Oracle-Exploits sind keine technische Unvermeidbarkeit, sondern das Ergebnis unzureichender Review-Prozesse. Moonwell hat drei solcher Vorfälle in sechs Monaten erlebt. Das ist kein Zufall, sondern ein strukturelles Problem.

Unser Qualitätsanspruch

Unsere Redaktionsrichtlinien bei Krypto Guru zielen darauf ab, Dir präzise, gut recherchierte und objektive Informationen im Bereich Kryptowährungen zu bieten. Jedes Stück Inhalt wird von einem Team aus erfahrenen Krypto-Experten und Redakteuren sorgfältig geprüft, um sicherzustellen, dass Du nur die verlässlichsten und aktuellsten Informationen erhältst. So kannst Du sicher sein, dass die Inhalte, die Du bei uns findest, nicht nur relevant, sondern auch von echtem Mehrwert für Dich sind.

Telegram Channel

Komm in unseren kostenlosen Telegram Channel und erhalte die News als erster!

Aktuelle News

Weitere aktuelle News

Weitere News