Крипто-мосты: архитектура и риски
Как работают блокчейн-мосты, типы архитектур, хроника крупнейших взломов и правила безопасности при переводе активов между сетями.
Крипто-мосты: архитектура и риски
Мосты соединяют блокчейны как физические мосты — берега. Без них ваш ETH на Ethereum не может попасть в DeFi на Solana, а USDC на Arbitrum не дойдёт до Optimism. Но мосты — самая атакуемая часть криптоинфраструктуры. Мосты регулярно становятся целью крупнейших атак — совокупный ущерб исчисляется миллиардами долларов и продолжает расти. Разбираем как они устроены и как не потерять деньги.
Как устроены мосты: три архитектуры
| Тип | Как работает | Главный риск | Примеры |
|---|---|---|---|
| Lock & Mint | Актив блокируется на исходном чейне, эквивалент чеканится на целевом | Взлом контракта блокировки = пустышки на других чейнах | Stargate, Wormhole, мосты Arbitrum/Optimism |
| Liquidity Network | Бассейны с деньгами на каждой стороне, ретранслятор выдаёт мгновенно | Нехватка ликвидности для крупных переводов | Across, Hop Protocol |
| Intent-based | Солверы конкурируются за лучшее исполнение перевода | Новизна модели, сложность аудита | Across v3, deBridge DLN |
Хроника крупнейших взломов
Мосты — банк с табличкой «ищи уязвимость». Хакеры ищут и находят.
⚠️ Ronin Bridge (март 2022) — $625 млн. Хакеры получили контроль над 5 из 9 ключей валидаторов через социальную инженерию. Урок: 5 из 9 — слишком мало для миллиарда долларов. Нужно географическое распределение и больше подписантов.
⚠️ Wormhole (февраль 2022) — $326 млн. Баг в смарт-контракте позволил подделать сообщение о входящем депозите. Урок: проверка подписей на целевом чейне — критична. Jump Crypto покрыла убытки.
⚠️ Nomad (август 2022) — $190 млн. Ошибка инициализации позволила любому скопировать чужую транзакцию и поменять адрес получателя. Урок: инициализация контракта должна проверяться с особой тщательностью.
⚠️ Harmony Horizon (июнь 2022) — $100 млн. Скомпрометированы ключи мультисига. Урок: ключи валидаторов — актив уровня ядерного чемоданчика.
Как выбрать безопасный мост: 5 вопросов
📌 1. Сколько мосту лет? Старше года — в 5 раз меньше инцидентов чем у запущенных в последние 6 месяцев. Время = баттл-тест.
📌 2. Кто аудировал? Trail of Bits, OpenZeppelin, ChainSecurity, Halborn. Два аудита от разных фирм лучше одного. Старше 12 месяцев — мог не покрыть свежие обновления.
📌 3. Сколько валидаторов и где они? 4 валидатора в одной компании — не децентрализация. Нужны независимые операторы, разные юрисдикции.
📌 4. Есть ли кнопка паузы? Разница между убытком в $3 млн и $300 млн — секунды на остановку моста.
📌 5. Какой TVL и как давно? $300 млн TVL год без инцидентов > $3 млрд за месяц.
Протокол безопасности при использовании моста
📌 1. Проверьте URL моста — НЕ из поиска, НЕ из Discord. Закладка. 📌 2. Используйте Rabby — показывает что подписываете. 📌 3. Никогда не ставьте unlimited approval. Лимит = сумма перевода. 📌 4. Сначала отправьте тестовые $10. Дошли? Отправляйте основную сумму. 📌 5. Проверьте газ. В пиковое время на Ethereum — $20-50. 📌 6. Перевели — вывели. Не держите средства в мосте.
⚠️ Зашёл, перевёл, вышел. Мост — не место хранения.