Im Februar 2026 verlor das Base-Kreditprotokoll Moonwell etwa 1,78 Millionen $, als der Preisfeed eines neu gelisteten Marktes einen Dezimal-Mismatch hatte, der die Sicherheit falsch bewertete und einem Angreifer erlaubte, den Markt gegen eine aufgeblähte Bewertung leer zu leihen.
Was geschah
Ein neuer Moonwell-Markt verwendete ein Orakel, dessen Dezimal-Skalierung nicht mit der Annahme des Protokolls übereinstimmte (die Dezimal-Mismatch-Klasse von Vee Finance / Aevo). Der falsch skalierte Preis überbewertete die Sicherheit; der Angreifer borgte den Markt trocken.
Folgen
- Markt pausiert; teilweise Wiederherstellung; Moonwell-Kern unberührt.
Warum es wichtig ist
Moonwell ist eine Neuformulierung des Dezimal-Mismatch-bei-Neu-Markt-Listing-Versagens von 2026. Es passt zu den anderen wiederkehrenden Neu-Listing-Gefahren des Katalogs (Donation-Angriffe, manipulierbare Orakel) unter einer Meta-Lektion: Die Listung eines neuen Sicherheiten-Assets ist eine der riskantesten Operationen, die ein Kreditprotokoll durchführt, weil es eine frische Preisfeed-Integration einführt, die die gesamte Prüfung umgeht, die die bestehenden Märkte angesammelt haben. Die defensive Antwort ist Prozess, nicht Code: eine gehärtete, checklist-durchgesetzte, unabhängig geprüfte Listing-Pipeline — genau das, was Ionic Money fehlte, als es ein gefälschtes LBTC listete.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-moonwell-incident-february-2026
- [02]rekt.newshttps://rekt.news/moonwell-rekt