En février 2026, le protocole de prêt Base Moonwell a perdu environ 1,78 million de dollars lorsqu'un flux de prix d'un marché nouvellement listé avait une incohérence de décimales, mal valorisant la garantie et permettant à un attaquant d'emprunter sur le marché contre une valorisation gonflée.
Ce qui s'est passé
Un nouveau marché Moonwell utilisait un oracle dont la mise à l'échelle décimale ne correspondait pas à l'hypothèse du protocole (la classe d'incohérence de décimales de Vee Finance / Aevo). Le prix mal échelonné surévaluait la garantie ; l'attaquant a vidé le marché par emprunt.
Conséquences
- Marché mis en pause ; récupération partielle ; cœur de Moonwell non affecté.
Pourquoi c'est important
Moonwell est une reformulation 2026 de l'échec d'incohérence de décimales lors d'un listing de nouveau marché. Il s'associe aux autres dangers récurrents de nouveaux listings du catalogue (attaques par donation, oracles manipulables) sous une méta-leçon : lister un nouvel actif de garantie est l'une des opérations les plus risquées qu'effectue un protocole de prêt, parce qu'elle introduit une nouvelle intégration de flux de prix qui contourne tout l'examen accumulé par les marchés existants. La réponse défensive est un processus, pas du code : un pipeline de listing durci, appliqué par liste de contrôle, examiné indépendamment — exactement ce qui manquait à Ionic Money quand il a listé un faux LBTC.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-moonwell-incident-february-2026
- [02]rekt.newshttps://rekt.news/moonwell-rekt