Decentralizirane financije, odnosno DeFi, razvile su se od 2018./2019. u pokušaj da se tradicionalne funkcije bankarstva – poput posudbi, štednje i trgovanja – prebace na pametne ugovore. Unutar tog ekosustava, protokoli za posudbe postali su ključna infrastruktura: korisnicima omogućuju da deponiraju kripto imovinu i posuđuju druge tokene bez posrednika. Moonwell je jedan od takvih protokola, fokusiran na mreže poput Moonrivera i Basea, i pozicionirao se kao kombinacija sigurnosno orijentiranog lending sustava s naglaskom na jednostavno korisničko sučelje i gamificirani pristup.
Upravo zato je incident u kojem je Moonwell ostao s oko 1,8 milijuna dolara lošeg duga zbog oracle greške snažno odjeknuo DeFi scenom. Nije riječ o klasičnom “hacku”, nego o kombinaciji pogrešne konfiguracije cjenovnog feeda i automatiziranih mehanizama protokola za posudbe. Ovakvi događaji podsjećaju koliko su i dalje krhki temelji na kojima počiva veći dio DeFi infrastrukture, naročito kad se oslanja na vanjske izvore podataka.
Moonwell kao protokol funkcionira slično etabliranim lending rješenjima poput Aavea ili Compounda: korisnici deponiraju kolateral, na temelju kojeg mogu posuditi druge tokene do određenog loan-to-value omjera. Sigurnost takvog sustava ovisi o ispravnom određivanju vrijednosti kolaterala i posuđenih sredstava – što nas izravno vodi do uloge oracla.
Što se dogodilo: oracle greška i nastanak lošeg duga
Prema dostupnim informacijama, ključ problema bio je u pogrešnoj konfiguraciji oracle feeda za jedan od podržanih tokena. Umjesto realne tržišne cijene, feed je isporučivao iskrivljenu vrijednost, što je utjecalo na izračun kolateralnog omjera u Moonwellovim pametnim ugovorima. U praksi, protokol je smatrao da određeni kolateral vrijedi znatno više nego što je doista bio slučaj na tržištu.
To je otvorilo prostor da napredniji korisnici ili botovi iskoriste situaciju: mogli su deponirati token koji je oracle precijenio, a zatim posuditi druge, likvidnije tokene po realnoj ili bližoj tržišnoj cijeni. Kada je vrijednost problematičnog tokena naknadno korigirana na stvarnu razinu, sustav je otkrio da kolateral više ne pokriva posuđeni iznos.
Normalno, u takvim okolnostima algoritam za likvidaciju trebao bi zatvoriti rizične pozicije, prodati kolateral i time namiriti dug. Međutim, zbog dinamike i veličine greške, u sustavu je ostao višak neotplaćenih kredita – takozvani loš dug – u iznosu od oko 1,8 milijuna dolara, koji više nije moguće pokriti putem standardnih likvidacija.
Ovakav scenarij nije jedinstven za Moonwell. I ranije su protokoli poput Mango Marketsa ili Scream Financea patili od sličnih problema, gdje je kombinacija neadekvatnih oracle rješenja i loše konfiguriranih parametara rizika dovela do ogromnih manjkova u protokolu. Svaki takav incident dodatno naglašava koliko je oracle sloj kritičan, ali i ranjiv dio DeFi arhitekture.
Kako oraclovi i lending protokoli tehnički funkcioniraju
Da bismo razumjeli težinu ovog incidenta, treba razložiti kako oraclovi i lending protokoli međusobno komuniciraju. U tipičnoj arhitekturi, pametni ugovor lending protokola prati tri ključna skupa podataka: vrijednost kolaterala, vrijednost posuđenog tokena i parametre rizika (npr. kolateralni faktor, likvidacijski prag, kamatne stope).
Oraclovi, poput Chainlinka ili Pytha, isporučuju cijene tako da off-chain čvorovi prikupljaju podatke s više mjenjačnica, filtriraju outliere i objavljuju agregirani feed na lancu. U idealnom slučaju, feed je otporan na manipulacije jednim tržištem i ažurira se dovoljno često da odražava stvarno stanje. No, svaki oracle ima niz konfiguracijskih opcija: od izbora izvora podataka i ponderiranja, do granularnosti feedova (npr. zasebni feedovi za spot cijenu, TWAP, cross-chain varijante i sl.).
Ako je feed krivo konfiguriran – primjerice, koristi nelikvidan market kao glavni izvor ili je adresiran pogrešan token – pametni ugovor nema “intuiciju” da je nešto pošlo po krivu. On samo vjeruje zadanim podacima i izračunava health faktor pozicije prema njima. U Moonwellovom slučaju, upravo je takva vrsta greške dovela do toga da protokol odobrava prevelike posudbe u odnosu na realnu vrijednost kolaterala.
Dodatni problem je što mnogi protokoli nemaju ugrađene napredne zaštite poput maksimalno dozvoljenog odstupanja od referentne cijene, dinamičkih pauza za specifični asset (asset-level circuit breakers) ili višeslojnih feedova (primarni i fallback oracle). Bez tih sigurnosnih mehanizama, jedan loš feed dovoljan je da naruši cjelokupni risk engine protokola.
Rizici: oracle sloj, likvidnost i dizajn parametara
Prvi i najočitiji rizik u ovom incidentu je sistemski rizik oracle sloja. Čak i kad se koriste etablirana oracle rješenja, kriva integracija ili konfiguracija može rezultirati katastrofalnim posljedicama. U praksi, timovi često podcjenjuju potrebu za neovisnom validacijom feedova, internim simulacijama i stres-testovima, te se previše oslanjaju na reputaciju pružatelja oracle usluge. Greška u jednoj varijabli ili adresi može otvoriti vektor napada za sofisticirane korisnike, koji prate anomalije u cijenama kroz on-chain alate i botove.
Drugi ključni rizik tiče se likvidnosti i dizajna parametara za pojedine tokene. Ako protokol dozvoli da se manje likvidan ili egzotičan token koristi kao kolateral s previsokim kolateralnim faktorom, svaki problem s oracleom multiplicira se. U slučaju naglog ispravljanja cijene, nema dovoljno likvidnosti na tržištu da se kolateral likvidira bez ogromnog slippagea, što ostavlja protokol s nepokrivenim obvezama. Ovakve situacije često završavaju time da protokol mora koristiti svoj governance token ili treasury za pokrivanje gubitaka, što pogađa dugoročne korisnike.
Treći, često zanemaren rizik, je UX i upravljanje očekivanjima korisnika. Većina korisnika DeFi protokola ne razumije detaljno kako oracle sloj funkcionira, niti prate sigurnosne nadogradnje. Incidenti poput ovoga erodiraju povjerenje i šire percepciju da je DeFi “opasan”, iako je problem često u konkretnim dizajnerskim odlukama, a ne u samom konceptu pametnih ugovora.
Što ovaj slučaj znači za budućnost DeFi protokola za posudbe
Posljedice ovog incidenta za Moonwell su višeslojne. S jedne strane, protokol se sada mora baviti pitanjem kako sanirati nastali loš dug – kroz redistribuciju rizika, potencijalno korištenje treasuryja ili izmjene tokenomije. S druge strane, mora obnoviti povjerenje korisnika transparentnom komunikacijom i konkretnim tehničkim poboljšanjima. Bez jasnog plana za upravljanje dugom i sprječavanje ponavljanja, likvidnost i aktivnost korisnika prirodno će opadati.
Šire gledano, ovaj slučaj će vrlo vjerojatno potaknuti i druge lending protokole da preispitaju svoje oracle integracije. Uobičajene prakse koje se sada nameću uključuju višestruke, neovisne feedove za ključne tokene, vremenski ponderirane cijene (TWAP) s zaštitom od naglih skokova, te ograničavanje kolateralne upotrebe manje likvidnih tokena sve dok ne prođu opsežnu risk analizu. Zreliji protokoli već uvode module za “kill switch” po assetu, koji automatski zamrzavaju posudbe i likvidacije ako se detektiraju neuobičajena odstupanja cijene.
Incident također pojačava argumente za specijalizirane sigurnosne servise usmjerene na nadzor oracla i parametara rizika u stvarnom vremenu. Neovisni “watchdog” sustavi mogu pratiti feedove svih većih protokola, detektirati nelogična odstupanja i automatski upozoriti timove ili čak aktivirati zaštitne mehanizme putem governance modula. Dugoročno, takav sloj nadzora može postati jednako standardan kao i klasični auditi pametnih ugovora.
Za korisnike, poruka je jasna: korištenje DeFi lending protokola zahtijeva razumijevanje da je cijeli lanac – od pametnog ugovora preko oracla do tržišne likvidnosti – potencijalna točka kvara. Diversifikacija između više protokola, praćenje governance rasprava i razumijevanje kolateralnih parametara postaje nužan minimum za ozbiljnije sudjelovanje na tržištu.
Zaključak
Slučaj Moonwella i 1,8 milijuna dolara lošeg duga još je jedan dokaz da je oracle sloj jedna od najslabijih karika u DeFi ekosustavu. Prednost ovakvih protokola jest transparentnost, automatizacija i mogućnost permissionless pristupa kreditima, no nedostatci se jasno vide u osjetljivosti na pogrešne konfiguracije, ograničenjima tržišne likvidnosti i kompleksnosti pravilnog podešavanja rizika.
Za razvojne timove, ova epizoda je upozorenje da se sigurnost ne svodi samo na audit koda, već i na rigorozno testiranje svih vanjskih ovisnosti, posebno oracla. Za napredne korisnike i investitore, relevantno je razumjeti kako pojedini protokol upravlja cjenovnim feedovima, koje zaštite primjenjuje i kako planira pokriti potencijalni loš dug. DeFi lending ostaje moćan alat, ali samo za one koji su spremni detaljno analizirati tehničke temelje protokola koje koriste.
