TAC Bridge — мост между TON и EVM-сетями 28 апреля 2026 года — потерял $2.8 млн. Злоумышленник использовал логическую уязвимость в верификации сообщений: специально сформированный вызов убедил смарт-контракт на EVM-стороне что депозит на TON-стороне существует — хотя его не было. Классика жанра.
Именно так работает большинство bridge-атак: не взлом криптографии, а логический баг в том как одна сторона верифицирует события на другой. За 2021-2026 год из мостов украдено более $3 млрд. Каждый пользователь переводящий активы между сетями принимает этот риск — часто не осознавая его полностью.

Почему мосты системно уязвимы

Мост утверждает одной сети: «на другой произошло вот это событие, выпускай токены». Вся безопасность зависит от того насколько это утверждение заслуживает доверия. Традиционные подходы: мультисиг (скомпрометируй порог ключей), оракулы (подкупи наблюдателей), light client (сложный код — много поверхности для атак). TAC Bridge использовал третий вариант, но с логическим багом в парсинге TON-данных — специально сформированное сообщение проходило верификацию как валидное.

Мост наследует безопасность двух сетей и добавляет собственный код. Ethereum имеет 15 лет аудитов и $500+ млрд под защитой. Новый мост — несколько месяцев аудита и концентрирует миллиарды в одном контракте. Это системное несоответствие. Второй фактор: $320 млн за один эксплойт привлекает наиболее квалифицированных атакующих. Следите за движениями подозрительных адресов — аномалии часто видны on-chain до публичного раскрытия.

TAC Bridge: детальный разбор

TAC (TON Application Chain) создаёт EVM-совместимый слой поверх TON. Атака развивалась последовательно: исследование открытого кода выявило баг в функции parseIncomingMessage — при определённой структуре данных декодер возвращал ненулевой amount при пустом теле. Атакующий сформировал серию транзакций с такими сообщениями, каждая «доказывала» несуществующий депозит, контракт выпускал wrapped токены. За несколько часов выведено $2.8 млн. Показательно: для остановки атаки команда использовала admin key которого не должно было существовать по документации — многие «децентрализованные» мосты сохраняют аварийные ключи. Это часть ключевых уязвимостей мультичейн инфраструктуры.

Архитектурные альтернативы

ZKP-мосты — наиболее перспективная архитектура. Математическое доказательство корректности транзакции без доверия к валидаторам. zkBridge поддерживает 40+ пар цепочек, Polygon zkEVM Bridge — финализация 15-30 минут. Взломать = сломать SNARK криптографию. Практически невозможно. IBC (Cosmos) — нативный протокол: каждая цепочка хранит lite client соседней и сама верифицирует события. 120+ цепочек, $4.2 млрд объёма, нуль задокументированных взломов за 3 года. Polymer Labs расширяет IBC на Ethereum L2. EigenLayer Shared Security: мосты как AVS с $28 млрд стейка — атака экономически нецелесообразна при адекватном покрытии. Нативные L2 мосты (Optimism, Arbitrum) — верифицируются самим Ethereum L1, наиболее безопасные для соответствующих экосистем.

Компромисс реален: ZKP (безопасность + универсальность, медленнее), IBC (безопасность + скорость, не универсален), EigenLayer (скорость + универсальность, требует $28 млрд стейка). Это часть интеграции мультичейн инфраструктуры в зрелую финансовую систему. Безопасные мосты критичны для RWA рынка — $250 трлн активов не переместятся через ненадёжные контракты. Хранить активы в некостодиальных кошельках, минимизировать время в мостах.

Практический чеклист безопасности

Практическое правило: до $500 — аудированные мосты приемлемы. $500-10K — 12+ месяцев, 3+ аудита, TVL >$100 млн. Выше $10K — только ZKP, IBC или нативные L2 мосты. Это базовый элемент управления рисками. Регуляторно: FinCEN требует регистрации централизованных мостов как MSB.

Инвестиционный взгляд

Один из ключевых нарративов 2026. EIGEN (EigenLayer) — рост bridge AVS = рост utility. POL/MATIC — AggLayer с ZKP для 25+ сетей. ATOM — IBC с нулевой статистикой взломов. Изучите рейтинг инфраструктурных токенов. Используйте стоп-лоссы.

© 2026 Cryptium.ru