Merkeziyetsiz finans ekosistemi yapay zeka tarafından yazılan hatalı bir kod satırı yüzünden tarihinin en sıra dışı siber saldırılarından birine sahne oldu. Moonwell protokolünde yaşanan bu olayda, Claude Opus 4.6 modelinin hatalı kurguladığı fiyat akışı formülü, yaklaşık 1.78 milyon dolarlık bir kayıpla sonuçlandı. Teknoloji dünyasında “vibe-coding” olarak adlandırılan, yapay zeka destekli hızlı geliştirme süreçlerinin ilk büyük kurbanı böylece DeFi sektörü oldu.
Claude Opus’un Pahalıya Patlayan Formül Hatası
Kripto para piyasasında güvenlik denetimleriyle tanınan Pashov’un gündeme getirdiği bu vaka, yapay zekanın yazılım süreçlerindeki risklerini tüm çıplaklığıyla gözler önüne seriyor. Moonwell platformunun oracle fiyat beslemesinde meydana gelen aksaklık, cbETH varlığının değerinin piyasa gerçeğinden tamamen kopmasına neden oldu. Normal şartlarda yaklaşık 2.200 dolar seviyelerinde işlem görmesi gereken cbETH, Claude Opus 4.6 tarafından yazılan hatalı kod sonucunda sisteme sadece 1.12 dolar olarak yansıtıldı.
Hatanın kaynağına inildiğinde, akıllı sözleşmenin çekirdek yapısındaki düşük seviyeli bir matematiksel formül hatası göze çarpıyor. SlowMist kurucusu Cos’un analizlerine göre, oracle fiyat akışı hesaplanırken yapılan bu temel mantık kusuru, saldırganların protokoldeki dengesizlikten faydalanmasına zemin hazırladı. Yapay zekanın karmaşık finansal verileri işlerken düştüğü bu yanılgı, merkeziyetsiz finansın ne kadar hassas bir dengede durduğunu bir kez daha kanıtladı.
Projenin GitHub üzerindeki kayıtları ve çekme istekleri (PR) incelendiğinde, söz konusu hatalı kodların bizzat Claude tarafından ortak yazarlık (co-authored) yöntemiyle oluşturulduğu net bir şekilde görülüyor. Geliştiricilerin yapay zekaya duyduğu aşırı güvenin denetim süreçlerini gölgelemesi, milyarlık hacme sahip platformların siber korsanlar için açık hedef haline gelmesine yol açtı.
Geliştirici Denetimi ve Yapay Zeka Riski
Sektör paydaşları, bu olayı “vibe-coding” döneminin ilk büyük hack vakası olarak nitelendiriyor. Kod yazım aşamasında hız kazanmak adına Claude gibi modellere teslim edilen yetkilerin, yeterli manuel kontrol ve güvenlik testlerinden geçirilmemesi büyük bir zafiyet doğurdu. Moonwell üzerinde gerçekleşen saldırı, sadece bir finansal kayıp değil, aynı zamanda yazılım dünyasındaki yeni üretim modellerinin güvenilirliği konusunda ciddi bir soru işareti bıraktı.
Pashov ve Cos gibi uzmanlar, akıllı sözleşmelerin otonom sistemler tarafından yazılmasının getirdiği kolaylıkların, beraberinde öngörülemez matematiksel felaketler taşıyabileceği konusunda uyarıyor. Fiyat akışındaki küçük bir virgül hatası veya yanlış bir çarpan kullanımı, saniyeler içinde milyonlarca doların buharlaşmasına yetti. Bu durum, yapay zekanın henüz finansal mimarinin kritik noktalarında tek başına karar verici olamayacak kadar “genç” olduğunu gösteriyor.
Gelecekte benzer faciaların yaşanmaması için “insan odaklı denetim” mekanizmasının önemi bir kez daha anlaşıldı. Yapay zeka modelleri ne kadar gelişirse gelişsin, DeFi gibi hata payı olmayan sahalarda profesyonel denetçilerin süzgeci hala en güçlü savunma hattını oluşturuyor. Moonwell hadisesi, teknoloji tarihindeki yerini yapay zekanın “halüsinasyon” gördüğü en maliyetli kodlama hatalarından biri olarak aldı.
