Ахиллесова пята блокчейна: как кроссчейн-мосты стали мишенью №1
Вступление
Когда-то блокчейны строились как бастионы: замкнутые, автономные, гордые в своей независимости. Каждая сеть — своя вселенная, со своими законами физики, богами консенсуса и экосистемой, где эфир может быть золотом, а газ — валютой. Они не должны были разговаривать друг с другом. Не должны были зависеть. Они были идеологически несовместимы, как анархист и налоговый инспектор.
Но пришли пользователи. Им захотелось свободы перемещений. Торговать токенами, выпускать NFT на одной цепи и продавать их на другой. Им подавай ликвидность — здесь и сейчас, сквозь реальности.
Так появились мосты. Не из камня, а из кода. Конструкции, соединяющие несовместимое. Переводчики между цепями, у которых разные языки, алфавиты и представления о том, когда «вчера» действительно случилось. Они должны были стать основой нового мира, в котором блокчейны не конкурируют, а сотрудничают. Но вышло иначе.
Мосты стали мишенями. Именно они — не смарт-контракты на децентрализованных биржах, не валидаторы монолитных сетей, а мосты — уносят наибольшее число криптовалют в чёрную дыру атак. Ronin: $624 млн. Wormhole: $326 млн. Nomad: $190 млн. И это только громкие.
Что-то идёт не так. Совсем не так.
Добро пожаловать в мир кроссчейн-диверсий. Здесь баги рождаются на стыке логик, доверие — это костыль, а один забытый if может обойтись как полбюджета Сальвадора.
Мы пишем об этом и не только в Mosca — Telegram-канале для тех, кто следит за криптой
Что такое кроссчейн-мост и зачем он нужен
Представь два государства: одно говорит на китайском языке, другое — на древнегреческом. У них разные правовые системы, разный календарь, и даже слово «транзакция» означает разные вещи. Но люди хотят пересекать границы. Переезжать с багажом, передавать деньги, устраивать свадьбы. Им нужен мост. Вот только этот мост не из бетона — он из кода. И каждый его шаг — компромисс между несовместимыми вселенными.
Зачем вообще нужны мосты?
Блокчейн-сети по умолчанию не видят друг друга. Эфир не знает, что происходит в Солане. Биткоин — не может ни прочитать смарт-контракт в Arbitrum, ни понять, что ты держишь токены в Aptos. Мосты решают эту проблему: они эмулируют присутствие одного блокчейна внутри другого.
Примеры сценариев:
- Ты хочешь использовать свои ETH в сети Solana — мост замораживает их на одной стороне и выпускает обёртку (wrapped ETH) на другой.
- Ты переводишь USDC с Avalanche в Polygon — мост «гарантирует», что с одной стороны списалось, а с другой зачислилось.
Как это работает?
Простейший принцип:
- На стороне отправки актив блокируется или уничтожается.
- На стороне получения он выпускается или разблокируется в эквиваленте.
Но вот беда: в отличие от централизованных систем, некому поручиться, что обе части действительно сработали честно. Поэтому мосты строятся по-разному.
Типы кроссчейн-мостов: как это вообще работает
Чтобы перебросить актив из одной блокчейн-сети в другую, нужен своего рода “таможенный пункт”, который подтвердит:
Да, вот здесь актив заморожен/сожжён — значит, можно выдать эквивалент там.
Разные мосты делают это по-разному. И у каждого — свои плюсы, минусы и потенциальные сценарии, при которых всё летит к чёрту — вместе с вашими токенами.
1. Доверенные мосты (Trusted Bridges)
Просто доверься нам, мы всё проверим
Здесь между двумя сетями стоят валидаторы — особые участники, которые следят за тем, что ты сделал на одной стороне, и сообщают об этом другой. Это как если бы на границе работали живые пограничники, которым ты показываешь паспорт, а они такие: «Окей, пропускаем».
Как работает:
- Ты кладёшь токен в контракт в сети А.
- Валидаторы следят за этим и отправляют сигнал в сеть B.
- В сети B тебе выдают аналог токена сети А, который можно использовать внутри сети B.
Главная проблема: Всё держится на честности валидаторов. В Ronin, например, достаточно было взломать 5 из 9 валидаторов — и злоумышленник украл $600+ миллионов. Если они соврали или их взломали — всё, мосту конец.
2. Обёртки и кастодианы (Wrapped Bridges / Custodial Bridges)
Мы держим твои токены, а ты получаешь их копию
Это как сдать золото в банковскую ячейку и получить бумажку, что у тебя есть это золото. Бумажкой можно расплачиваться… пока все верят, что золото реально лежит в сейфе.
Как работает:
- Ты отправляешь токены на адрес в сети А.
- Эти токены хранятся у кастодиана (иногда — централизованного).
- В сети B ты получаешь обёртку (wrapped token), которая говорит: «за мной стоит реальный актив».
Главная проблема: Если взломают хранилище (как это было в Wormhole) или кастодиан решит исчезнуть — все обёртки превращаются в… ничто. Просто фантики.
3. Мосты с ликвидностью (Liquidity Network Bridges)
У нас есть деньги на обеих сторонах — просто берём с одной, отдаём с другой
Вместо того чтобы ждать блокировок, верификаций и обёрток, эти мосты работают как обменный пункт с запасом кэша по обе стороны границы. Ты отдаёшь токен в одной сети — и получаешь нужный в другой из уже готового пула.
Как работает:
- Ты отправляешь токен А в сеть A.
- Мост берёт из своего пула токен B и отдаёт тебе в другой сети.
- Потом компенсирует ликвидность сам или с помощью арбитражников.
Главная проблема: Если ликвидности не хватает или кто-то обманул систему (например, закинул мусор вместо ценного актива) — мост может сломаться. И да, такое случалось. Много раз.
4. Trust-minimized и trustless мосты (Light Clients, ZK Bridges и др.)
Доверие? Нам не нужно доверие. Мы докажем всё математикой.
Это следующий уровень: мосты, которые не полагаются на людей или централизованных валидаторов, а используют криптографию, чтобы доказать события в одной сети — внутри другой.
Существует два главных подхода:
- Light clients: запускают «шпиона», который следит за блоками другой сети и может доказать, что событие произошло.
- ZK-мосты: используют zero-knowledge-доказательства, чтобы подтвердить событие без раскрытия всех деталей.
Как работает:
- Ты совершаешь действие в сети A.
- Мост генерирует доказательство (пруф), что событие реально.
- Сеть B проверяет это доказательство и выдаёт актив.
Главная проблема: Это технологически сложно, медленно и дорого. Пока такие мосты — скорее лабораторные проекты, чем массовая инфраструктура.
Итог: нет идеального моста
Все мосты — это компромиссы между:
- Безопасностью
- Скоростью
- Удобством
- Централизацией
Атаки случаются, когда кто-то решает, что может обмануть систему быстрее, чем она успеет это заметить. И часто — оказывается прав.
Почему мосты — это ахиллесова пята блокчейна
Казалось бы, блокчейн должен быть максимально защищён. Криптография, консенсус, децентрализация, smart-контракты, формальная верификация... Но всё это — внутри одной сети. А мост — это как сшить два разных организма. Один дышит воздухом, другой — азотом. Один считает, что транзакция финальна через 1 секунду, другой — через 20. А теперь попробуй передать актив между ними, не потеряв ничего по пути.
1. Несовместимая логика сетей
Каждый блокчейн — это своя реальность со своими законами:
- В Ethereum финальность — условная (можно откатить, если цепь форкнется).
- В Solana всё работает быстро, но события могут приходить «не по порядку».
- В BNB Chain центральные валидаторы решают всё, включая истину.
Проблема? Мост должен интерпретировать чужую реальность. Он говорит сети B:
Поверь, в сети A всё случилось честно
Но откуда сеть B это знает? Если ты неправильно понял события — или их неправильно интерпретировал — ты выдал актив просто так. Без залога. Без гарантии. Без шанса вернуть.
2. Доверенные посредники — точка провала
Мосты часто держатся на валидаторах, мультисигах, операторах…Люди, которым нужно верить. Или код, который эти люди пишут.
- В Ronin, достаточно было получить доступ к 5 из 9 валидаторов — и дорога открыта.
- В Nomad забыли важную проверку в коде — и буквально каждый мог украсть деньги, просто повторяя чужие транзакции.
- В Wormhole недостоверная подпись не была проверена — и злоумышленник «убедил» сеть, что всё честно.
Точка уязвимости здесь не внутри блокчейна — а на границе. Там, где доверие даёт течь, как прохудившийся мешок с DAO-токенами.
Мост — это не один контракт. Это обычно целая система:
- Контракт на одной стороне
- Контракт на другой стороне
- Сервис-посредник (валидатор, оракул, клиенты)
- Код, координирующий события
- Хранилища и очереди событий
- И часто — механизмы восстановления, ручного вмешательства и прочее
Чем больше деталей — тем больше шансов, что где-то забыли проверить require() или сделали допущение, которое внезапно перестало быть правдой.
4. Медленная реакция на баги и атаки
Даже если уязвимость найдена — далеко не всегда её можно починить мгновенно:
- Код уже развернут и не подлежит обновлению.
- DAO должно проголосовать за апдейт — а это дни, если не недели.
- В сообществе нет чёткого «владельца» кода, все ждут, кто возьмёт инициативу.
Атаки же — быстрые.
Уязвимость — это окно возможностей. Если оно открыто хотя бы на сутки, кто-то в него обязательно залезет.
Вывод
Мосты — это не просто техническая проблема. Это архитектурный парадокс.
Они призваны соединять несовместимое. Делать доверие ненужным.
Но на практике:
- Они требуют доверия
- Ломаются на несовместимости
- И их очень трудно сделать надёжными, потому что они буквально стоят между разными мирами.
Кейсы атак: хроники кроссчейн-разгрома
Ronin Bridge (Axie Infinity) — $624 млн украдено
"Пока все играли в покемонов на блокчейне, кто-то взломал весь мост"
Что произошло:
- Мост использовал мультисиг: 9 валидаторов должны были подтверждать транзакции.
- Для проведения операции нужно было 5 из 9 подписей.
- Взломщик получил контроль над 5 ключами (социальная инженерия + вредоносное ПО).
- После этого он просто сам себе отправил $624 млн и ушёл, не встретив сопротивления.
Почему это важно:
- Это не уязвимость в смарт-контракте. Это организационный провал.
- Безопасность моста держалась на доверии к людям и их приватным ключам. Один скомпрометированный валидатор — и вся система открыта.
Wormhole Bridge — $326 млн похищено
Подделать подпись оказалось проще, чем получить реальную
Что произошло:
- Wormhole позволял оборачивать ETH и переводить его между Ethereum ↔ Solana.
- Нападающий подделал подпись, которая должна была подтвердить, что активы реально залочены.
- Мост не проверил подпись как следует.
- В результате атакующий просто "сказал" мосту, что ETH был залочен — и получил токены в другой сети.
Почему это важно:
- Всего одна строчка кода, не проверяющая подлинность — и $300+ млн в минус.
- Злоумышленник не ломал сеть. Он убедил мост, что действие произошло — и мост поверил.
Nomad Bridge — $190 млн просто ушли
Баг, открывший кнопку ‘украсть всё’ для всех желающих
Что произошло:
- После обновления кода мост стал считать любые сообщения валидными, даже если они были поддельными.
- Кто-то заметил, что можно вставить чужую транзакцию, заменить адрес — и получить токены себе.
- Сначала украл один. Потом увидели другие. Началась паника и крипто-грабёж, как в фильме.
Почему это важно:
- Это был массовый баг, эксплуатируемый даже непрофессионалами.
- Настоящий децентрализованный погром: люди клонировали чужие транзакции и забирали деньги на свои адреса.
- Мост был слишком доверчив. А блокчейн не прощает доверчивости.
Multichain (ранее Anyswap) — $130+ млн пропали без следа
Мост умер в темноте. Мы так и не поняли, как
Что произошло:
- Multichain — крупнейший кроссчейн-мост по числу поддерживаемых сетей.
- В 2023 году один из ключевых разработчиков исчез (по неподтверждённой информации — был арестован).
- У него был доступ к ключам, контролирующим хранилища активов.
- После этого деньги с мостов начали исчезать — без следов, объяснений и отката.
Почему это важно:
- Это был один из самых используемых мостов — и он рухнул из-за централизации и непрозрачности.
- Даже не было атаки. Просто исчез разработчик — и с ним $130 млн.
Общий счёт: мосты — лидеры по потерям в крипте
По данным Chainalysis, больше трети всех украденных средств в крипто-индустрии — это атаки на мосты.
Это не случайность. Это не «несчастный баг».
Это симптом.
Мосты — не просто ворота между сетями. Они — их самое уязвимое место.
Их атакуют, потому что:
- Они сложные.
- Они медленно чинятся.
- И, главное — они обещают безопасность, которую не могут обеспечить.
Почему проблема глубже, чем кажется
Когда слышишь про очередной взлом моста, легко подумать:
Ну, опять косяк в коде. Надо было потестить лучше
Но с мостами это не так просто. Потому что их уязвимость — не ошибка в реализации, а вопрос несовместимости мировоззрений.
Фрагментация как судьба
Каждый блокчейн — это отдельный мир. Не просто с разным кодом, а с разной философией доверия.
- Ethereum верит в децентрализацию и медленный прогресс.
- Solana — в высокую скорость и оптимизацию через централизованные участки.
- Cosmos и Polkadot — вообще строят модульные мультивселенные.
Мост пытается связать их всех.
Он как дипломат, который должен одновременно говорить на десяти языках и не обидеть ни одного диктатора.
Проблема в том, что никто не согласен ни на одни и те же правила финальности, ни на общие понятия "доверия".
Trustless — это мечта, а не реальность
В теории все хотят «trustless» мост:
— без доверия, без посредников, без точек провала.
Но в реальности:
Light clients и ZK-мосты сложны и дороги.
- Криптографические доказательства требуют много газа и времени.
- Большинство команд просто берут мультисиг, валидаторов или централизованного кастодиана — потому что это быстрее и дешевле.
Итог: на словах мы строим мосты без доверия.
На деле — просто просим поверить, что валидатор не уйдёт в отпуск с твоими токенами.
Экономика и давление пользователей
- Мост должен быть быстрым, иначе UX (User Experience - всё, что касается удобства, скорости, предсказуемости и ощущения безопасности при взаимодействии с мостом) страдает.
- Должен быть дешёвым, иначе люди не будут пользоваться.
- И желательно универсальным — поддерживать кучу сетей.
Каждый из этих пунктов — компромисс.
А компромисс в безопасности = потенциальная брешь.
Пока нет массового спроса на действительно безопасные, медленные и дорогие мосты — проблема будет повторяться.
И даже если ты всё сделал правильно…
- Кто-то обновит контракт с багом.
- Кто-то потеряет multisig-ключ.
- Или просто валидаторы заснут на смене.
Мосты — это не просто код. Это многослойная социально-техническая конструкция.
И чем она сложнее, тем больше в ней возможных уязвимых мест.
Философский тупик
Мост — это обещание: “то, что было по ту сторону — реально, и ты можешь этому верить”.
Но в децентрализованном мире нет единого арбитра, который может подтвердить, что событие действительно произошло.
Всё основано на допущениях, логике и костылях.
Именно поэтому мосты — не просто взламываются.
Они ломаются как идея каждый раз, когда кто-то доказывает: «достаточно умный эксплойт может обмануть даже саму логику доверия».
Что делается — и работает ли это вообще?
Окей, допустим, мы поняли, что мосты — штука опасная.Что дальше? Всё бросить и вернуться к централизованным биржам?
Нет. Мозги кипят, команды работают, и кое-где начинает вырисовываться свет в конце тоннеля. Вот что происходит:
1. Переход к trust-minimized мостам
Мир крипты идёт туда, где можно доверять коду, а не людям. И появляются реальные технологии, способные это обеспечить.
Light clients
- Позволяют одной цепи самостоятельно следить за другой.
- Работают, как минимальный блокчейн-узел внутри контракта.
- Пример: IBC (в Cosmos), Rainbow (для Ethereum ↔ Near).
Zero-Knowledge мосты (ZK-bridges)
- Используют криптографические доказательства того, что событие реально произошло.
- Надёжны, математически строгие, но пока тяжёлые и дорогие.
- Примеры: zkBridge (Polyhedra), Succinct, Herodotus.
2. Формальная верификация кода
- Крупные мосты всё чаще проверяют контракт математически, чтобы доказать отсутствие уязвимостей.
- Не панацея, но хотя бы даёт гарантию, что багов типа "забыл проверить подпись" не будет.
3. Защитные механизмы на уровне протокола
- Слэшинг валидаторов: если ты подтвердил фальшивую транзакцию — теряешь залог.
- Rate limits и паузы: если что-то идёт не так — мост сам себя тормозит.
- Многоуровневая проверка событий: подтверждения от разных ролей, распределённых географически и логически.
4. Новые архитектуры
- Cosmos и Polkadot вообще строят мосты "внутри" своего дизайна, чтобы избежать внешних зависимостей.
- Ethereum L2 решают проблему иначе: у всех цепей общий уровень консенсуса, и там не нужны классические мосты.
- Это пока не заменяет межсетевые мосты, но снижает потребность в них.
А что нам с этим делать?
Если ты не пишешь мосты — всё равно важно понимать:
- Где проходят настоящие линии риска в криптоинфраструктуре.
- Почему интероперабельность (взаимная совместимость) — это не просто «удобно», но и опасно.
- Как читать новости про «взлом моста на $190 млн» — и понимать, что на самом деле пошло не так.
Мосты — это зона конфликта между тем, что мы хотим от блокчейна (универсальности) и тем, что блокчейн может дать (изолированную безопасность).
Финал: мост как метафора
Смотри. Мост — это не просто кусок кода между сетями.
Это обещание. Сделка с реальностью. Ставка на то, что мир может быть связан, даже если его части говорят на разных языках, верят в разные истины и живут по разным законам.
Но каждый мост — компромисс. И каждый взлом — напоминание:
«Ты попытался соединить несовместимое.
И оно не простило».
Ты можешь думать, что мосты — это временная мера. Что вот-вот появятся идеальные решения, всё будет trustless, быстрая верификация, zero-knowledge, постквантовая криптография, щёлк — и все в безопасности.
Но вспомни: безопасность — это не свойство кода. Это способ мышления.
А мышление у всех разное. Особенно в децентрализованном мире, где каждый сам себе нода, банк и судья.
Так что теперь дело за тобой.
Если ты разработчик — смотри глубже. Мосты не только ломаются — они искажают саму идею блокчейна.
Если ты пользователь — понимай риски. Неважно, насколько блестяще написан интерфейс — там внутри может быть дырка размером в сотни миллионов.
А если ты просто наблюдаешь со стороны, как горят очередные мосты — знай:
Это не баги. Это попытка построить доверие в мире, который изначально был спроектирован, чтобы обходиться без него.
Мир блокчейнов — это архипелаг. Разрозненные острова, связанные тонкими, трепещущими мостами.
Каждый такой мост — как нить над бездной.
По ним идут деньги, идеи, доверие.
И каждый день кто-то проверяет, насколько крепко они держатся.
Вопрос не в том, взорвут ли следующий мост.
Вопрос — готов ли ты оказаться на нём в этот момент.
Подписывайся на Mosca в Telegram — делимся статьями, идеями и наблюдениями из мира блокчейна и децентрализации.