Das dezentrale Kreditprotokoll Moonwell sah sich im Februar 2026 einem erheblichen finanziellen Verlust von rund 1,8 Millionen US-Dollar gegenüber. Ursache war ein kritischer Fehler in einem Preis-Oracle, der den Wert von Coinbase Wrapped ETH (cbETH) dramatisch falsch bewertete und zu massiven uneinbringlichen Forderungen führte. Dies ist nicht der erste Vorfall dieser Art für das Protokoll, das bereits zuvor mit Oracle-Problemen zu kämpfen hatte.
Der Vorfall ereignete sich am 15. Februar 2026 um 18:01 Uhr UTC, nachdem ein Moonwell DAO-Governance-Vorschlag zur Aktivierung von Chainlink OEV Wrapper-Kontrakten auf den Märkten Base und Optimism ausgeführt wurde. Ein fehlerhaft konfiguriertes Oracle bewertete cbETH mit nur etwa 1 US-Dollar, obwohl der tatsächliche Marktwert bei rund 2.200 US-Dollar lag. Diese massive Diskrepanz von 99,9 % entsprang einer Fehlkalkulation, bei der nur der cbETH/ETH-Feed herangezogen wurde, anstatt ihn mit dem ETH/USD-Preis zu multiplizieren.
Diese falsche Bewertung lockte umgehend Trading-Bots und Liquidatoren an. Sie konnten mit geringen Schulden beträchtliche Mengen an cbETH als Sicherheit erhalten. Ein Großteil der Kollateralpositionen vieler Kreditnehmer wurde dadurch ausgelöscht, was Moonwell mit rund 1,78 Millionen US-Dollar an uneinbringlichen Forderungen (Bad Debt) zurückließ. Einige Nutzer nutzten die verzerrten Kurse zudem aus, um mit minimalem Einsatz massive cbETH-Positionen zu überleihen, was die Verluste weiter erhöhte.
Die Fehlkonfiguration nutzten Liquidatoren und Bots aus, um mit geringen Schulden große Mengen cbETH als Sicherheit zu erlangen, was zu erheblichen Verlusten führte.
Als Reaktion auf den Vorfall ergriff das Moonwell-Team umgehend Maßnahmen, um weitere Schäden zu begrenzen. Die Ausleih- und Einlageobergrenzen für cbETH wurden auf 0,01 gesenkt.
Dieser aktuelle Vorfall reiht sich in eine Serie von Sicherheitsproblemen bei Moonwell ein. Bereits im November 2025 führte ein fehlerhaftes Oracle für Wrapped Restaked Ethereum (wrsETH) zu einem Gewinn von rund 1 Million US-Dollar für einen Angreifer und hinterließ Moonwell mit etwa 3,7 Millionen US-Dollar an uneinbringlichen Forderungen. Dies wird als vierter größerer Sicherheitsvorfall innerhalb von drei Jahren betrachtet, hinzu kommen ein Flash-Loan-Exploit im Dezember 2024 (320.000 US-Dollar) und ein weiterer Oracle-Zwischenfall im Oktober 2025 (1,7 Millionen US-Dollar).
