DeFi

Безопасность мостов DeFi: exploits и как защититься

Сергей Зиненко•6 мин чтения

Разбираем крупнейшие взломы blockchain bridge: от Wormhole до Ronin. Как работают атаки на мосты DeFi и защитить свои средства. Читать →

TL;DR

Основной разбор

Безопасность blockchain bridge: почему мосты DeFi взламывают и как защититься

За последние 3 года хакеры украли через взломы blockchain bridge больше $2.5 млрд. Только в 2022-м: Wormhole потерял $325 млн, Ronin — $625 млн, Nomad — $190 млн. Мосты между блокчейнами стали любимой мишенью для атак. Почему именно мосты? Они держат огромные суммы в смарт-контрактах, а их архитектура сложнее обычных DeFi протоколов. Один баг — и миллионы утекают за секунды.

Что такое blockchain bridge и почему они уязвимыBlockchain bridge — это протокол для перевода активов между разными сетями. Хочешь перевести ETH из Ethereum в Polygon? Нужен мост.

Как работает типичный мост:

Ты отправляешь токены в смарт-контракт на исходной сети- Контракт блокирует (lock) твои токены- На целевой сети тебе выдают обёрнутые токены (wrapped)- Валидаторы моста подтверждают операциюПроблема: в отличие от обычного DEX, мост должен синхронизировать состояние между двумя блокчейнами. Это создаёт дополнительные точки отказа. Основные типы уязвимостей мостов:
Ошибки валидации: мост не проверяет подлинность транзакций- Слабая криптография: хакеры подделывают подписи валидаторов- Проблемы консенсуса: валидаторы работают некорректно- Баги в смарт-контрактах: классические переполнения и reentrancy## Как работают атаки на мосты под капотомРазберём три главных типа атак на примере реальных инцидентов.

Поддельные депозиты (Wormhole, февраль 2022)Wormhole потерял $325 млн из-за бага в валидации сообщений между Solana и Ethereum.

Механика атаки:

Хакер создал поддельное сообщение о депозите 120,000 wETH- Система валидации Wormhole не смогла это проверить- Мост выдал реальные ETH на основе фальшивого депозитаКорень проблемы: Wormhole полагался на устаревшую версию системы валидации, где можно было обойти проверки.

Компрометация валидаторов (Ronin, март 2022)Ronin Network (мост для игры Axie Infinity) потерял $625 млн через захват валидаторов.

Схема атаки:

Для операции требовалось 5 из 9 подписей валидаторов- Хакеры получили контроль над 4 валидаторами Sky Mavis- Плюс 1 валидатор Axie DAO (через социальную инженерию)- Итого: 5 подписей = полный контроль над мостомФатальная ошибка: слишком централизованная архитектура. Sky Mavis контролировала 4 из 9 валидаторов.

Копирование транзакций (Nomad, август 2022)Nomad потерял $190 млн за 3 часа через самую необычную атаку в истории DeFi.

Что произошло:

Первый хакер нашёл способ повторно исполнить валидную транзакцию вывода- Сотни копикэтов начали копировать эту транзакцию- Мост исполнял все копии, не понимая, что средства уже выведены- За 3 часа протокол обнулилсяБаг был в системе проверки состояния: мост не синхронизировал данные между сетями в реальном времени.

Реальные примеры крупных взломовЗа 2022-2024 хакеры украли через мосты больше денег, чем через все остальные DeFi протоколы вместе взятые.

Ограничения и подводные камни мостовДаже без взломов мосты несут системные риски, о которых мало кто говорит.

Проблема ликвидностиБольшинство мостов работает по принципу lock-and-mint: токены блокируются на исходной сети, а на целевой выдаются wrapped версии.

Риски:

Если мост взломают, wrapped токены станут необеспеченными- При массовом оттоке ликвидности может не хватить- Цена wrapped токена может отклоняться от оригиналаПример: после взлома Wormhole wETH на Solana торговался с 5% дисконтом к обычному ETH.

Централизация валидаторовБольшинство мостов полагается на ограниченный набор валидаторов.

Статистика на начало 2024:

Polygon PoS Bridge: 8 валидаторов- Avalanche Bridge: 6 валидаторов- Fantom Bridge: 5 валидаторовДля сравнения: Ethereum валидируют 900,000+ узлов. Разница в безопасности колоссальная.

Скорость vs безопасностьБыстрые мосты жертвуют безопасностью ради скорости. Медленные (как Ethereum → Bitcoin через relay) — наоборот.

Типичное время подтверждения:

Быстрые мосты: 2-10 минут- Optimistic bridges: 7 дней (период оспаривания)- ZK-bridges: 1-4 часаLayerZero пытается решить эту дилемму через omnichain протокол, но пока тоже полагается на оракулы.

Мнение эксперта: будущее безопасности мостовПосле серии крупных взломов индустрия наконец поняла: мосты — это самое слабое звено в DeFi. Но решения уже появляются.

Три тренда, которые изменят ситуацию к 2025: 1. ZK-мосты станут стандартом Протоколы вроде zkSync и StarkNet показывают, как можно криптографически доказывать валидность транзакций без доверия к валидаторам. Это убивает главный вектор атак. 2. Интент-based архитектура Вместо сложных lock-mint схем пользователь просто заявляет намерение (intent) перевести токены. Специальные решатели (solvers) исполняют запрос оптимальным способом. UniswapX и 1inch Fusion уже работают по этому принципу. 3. Модульные мосты Вместо монолитных протоколов — композируемые модули для разных функций: верификации, консенсуса, исполнения. Баг в одном модуле не убьёт весь мост. Реалистичный прогноз: к концу 2025 убытки от взломов мостов сократятся в 10 раз. Но массовое принятие ZK-технологий займёт ещё 2-3 года.

ВыводыBlockchain bridges остаются самой рискованной частью DeFi экосистемы. За 3 года хакеры украли $2.5+ млрд, и это не предел.

Главные риски:

Централизованные валидаторы (80% взломов)- Баги в смарт-контрактах (15%)- Социальная инженерия (5%)Что делать пользователю:
Использовать только проверенные мосты с аудитами- Не держать крупные суммы в wrapped токенах- Следить за количеством валидаторов (чем больше, тем лучше)- Ждать ZK-мосты — они кардинально безопаснееСледующие 2 года будут переломными. Либо индустрия решит проблему мостов через ZK и модульность, либо регуляторы начнут жёстко ограничивать cross-chain активность.

Чеклист действий

Пройдите раздел «Что такое blockchain bridge и почему они уязвимыBlockchain bridge — это протокол для перевода активов между разными сетями. Хочешь перевести ETH из Ethereum в Polygon? Нужен мост.» и выпишите практические шаги.
Пройдите раздел «Реальные примеры крупных взломовЗа 2022-2024 хакеры украли через мосты больше денег, чем через все остальные DeFi протоколы вместе взятые.» и выпишите практические шаги.
Проверьте риски и ограничения сервиса перед действиями.
Сделайте тестовый запуск на небольшой сумме.

FAQ

Какой самый безопасный blockchain bridge в 2024?

По статистике взломов: официальные мосты крупных L2 (Arbitrum, Optimism) и ZK-мосты (zkSync, Polygon zkEVM). У них больше аудитов и децентрализованных валидаторов. Избегайте мосты с менее чем 10 валидаторами.

Можно ли потерять деньги в мосте даже без взлома?

Да. Wrapped токены могут потерять привязку к оригиналу при проблемах с ликвидностью. После взлома Wormhole wETH торговался с 5% дисконтом. Также возможны технические проблемы, которые заморозят средства на дни или недели.

Как проверить безопасность моста перед использованием?

Проверьте: количество валидаторов (>10 лучше), наличие аудитов от топовых компаний (Trail of Bits, Consensys), TVL (больше $500 млн — хороший знак), время работы без инцидентов (>1 года). Избегайте новые мосты первые 6 месяцев.

Что делать, если мост взломали, а мои токены там заблокированы?

Немедленно выводите средства, если мост ещё функционирует. Если средства заморозились — ждите решения команды протокола. В 70% случаев пользователям возмещают убытки полностью или частично, но это может занять месяцы.

Заменят ли LayerZero и другие omnichain протоколы обычные мосты?

Частично да. LayerZero решает проблему фрагментации ликвидности, но всё ещё полагается на оракулы и relayer'ы. Полное решение — ZK-мосты с криптографическими доказательствами. Массовое внедрение ожидается к 2026-2027.

Источники

В статье пока нет внешних источников. Список будет дополняться при обновлениях.