Una línea de código costó 2 millones de dólares: el chatbot Claude colapsó el protocolo DeFi Moonwe

Cuando en finanzas descentralizadas algo sale mal, normalmente se busca una vulnerabilidad o un ciberataque. En el caso de Moonwell, el culpable resultó ser inesperadamente la inteligencia artificial. El protocolo perdió $1,78 millones después de que en el código de producción se introdujera un error generado por el modelo Anthropic Claude Opus 4.6.

Se trata de la plataforma de crédito Moonwell, que opera en las redes Base y Optimism. Tras la implementación de una actualización con contratos Oracle Extractable Value (OEV) de Chainlink en el mercado principal cbETH en la red Base se produjo un fallo en el cálculo del precio. En lugar de multiplicar la relación cbETH/ETH por el precio ETH/USD, el código tomó solo la relación cbETH/ETH y asumió que eso ya era el precio en dólares.

Como resultado, el token cbETH se valoró aproximadamente en $1,12 en lugar de los cerca de $2200 reales. Una infravaloración de casi dos mil veces desencadenó liquidaciones instantáneas. Los liquidadores pudieron cancelar una deuda de aproximadamente un dólar y recibir en garantía activos por miles de dólares.

La vulnerabilidad apareció el 15 de febrero, justo después de la activación de la propuesta MIP-X43. El gestor de riesgos logró en unas horas reducir el límite de préstamos sobre cbETH casi a cero, lo que de hecho detuvo nuevos créditos y limitó el daño adicional. Pero las liquidaciones ya se habían producido y algunos usuarios perdieron casi todas sus garantías.

Según la estimación del protocolo, el daño total ascendió a $1,78 millones de dólares. Las posiciones más afectadas fueron en cbETH, WETH y USDC. Algunos prestatarios, por el contrario, aprovecharon el precio incorrecto y pidieron prestado más de lo que les permitían las reglas, aumentando así el déficit en el balance.

La situación guarda un curioso paralelismo con un incidente reciente en la bolsa surcoreana Bithumb. Allí, el 6 de febrero, un empleado por error asignó bitcoin en lugar del won surcoreano al acreditar bonos dentro de la promoción Random Box. Como resultado, los usuarios recibieron recompensas en BTC en vez de en la moneda nacional. Las pérdidas se estimaron en unos 620.000 bitcoins por un valor de más de 40.000 millones de dólares, lo que equivale a cerca del tres por ciento de todo el suministro de bitcoin en circulación.

La historia de Moonwell reavivó el debate sobre el llamado "vibe coding", cuando los desarrolladores confían activamente en modelos generativos al escribir código. El auditor de contratos inteligentes pashov recordó que siempre hay una persona detrás de la red neuronal que revisa el resultado y es responsable de la puesta en producción del código. En su opinión, culpar únicamente al modelo no es correcto, aunque el caso invita a reflexionar sobre los riesgos de ese enfoque.

La empresa SlowMist, dedicada a la seguridad de proyectos blockchain, señaló la vulnerabilidad en la fórmula del oráculo y el fallo del control humano que permitió que el código erróneo llegara a producción. Varias semanas antes del incidente, investigadores encontraron 69 vulnerabilidades en 15 aplicaciones creadas con herramientas populares basadas en inteligencia artificial, incluidas Cursor y Claude Code.

Además, en diciembre de 2025 la propia Anthropic publicó los resultados de pruebas en las que la versión anterior del modelo Claude Opus 4.5, en un entorno simulado, pudo por sí sola encontrar vulnerabilidades en contratos inteligentes, construir cadenas de ataque y extraer de ellas valor por hasta $4,6 millones.

En Moonwell subrayaron que los demás mercados en la red Base y en la red principal de Optimism no se vieron afectados. El problema está aislado en el mercado cbETH en Base. Además, este no es el primer fallo relacionado con oráculos en el protocolo; ocurrió un incidente similar en noviembre de 2025.

La historia del error en una sola línea de código demuestra que la automatización del desarrollo no sustituye la comprobación básica de la lógica. De lo contrario, el precio de tal descuido puede medirse en millones.