Message replay — атака, при которой злоумышленник повторно использует уже обработанное сообщение моста, чтобы получить средства второй раз. Ronin потерял $625 млн в 2022-м, Nomad — $190 млн, и схема повторяется в новых протоколах. По данным Redvolt AI, в 2026 году мосты остаются самым уязвимым звеном DeFi-инфраструктуры.
Replay-атака — повторная отправка уже исполненного сообщения между чейнами, если протокол не хранит реестр обработанных транзакций. Мосты исторически делали ставку на скорость, а не на защиту от повтора. Даже после громких взломов 2022–2023 годов часть новых протоколов запускалась с тем же изъяном. Риск: каждый новый мост — потенциальная точка входа до тех пор, пока не пройдёт независимый аудит нескольких фирм.
Ronin Bridge (Axie Infinity) потерял $625 млн: атакующие скомпрометировали 5 из 9 валидаторских ключей и подписали вывод без реального консенсуса. Это не чистый replay, но шаблон тот же — доверие к небольшому набору подписантов вместо криптографически верифицированных состояний чейна. После Ronin десятки проектов скопировали архитектуру с мультисигом малого кворума. Риск: мосты с кворумом менее 7/11 подписантов статистически взламывались чаще.
Nomad (2022, $190 млн) допустил ошибку в инициализации: нулевой корень Merkle считался доверенным, что позволило любому скопировать транзакцию вывода. Wormhole ($320 млн) — подделка подписи guardian. По данным Redvolt AI, атаки 2026 года сложнее: комбинируют replay с флэш-займами и манипуляцией оракулами в одной транзакции. Стандартные аудиты не всегда успевают за такими составными векторами.
Протоколы с верификацией через light client (IBC в Cosmos, zkBridge-решения) считаются архитектурно надёжнее мультисиговых. Они проверяют состояние исходного чейна математически, а не доверяют набору операторов. По DeFiLlama, TVL в zkBridge-сегменте рос быстрее среднего по мостам в 2025–2026. Риск: zero-knowledge верификация дороже и медленнее, а реализации также содержат баги в схемах доказательств.
Первое: не держите крупные суммы в мостовых контрактах дольше необходимого — переводите и сразу выводите. Второе: проверяйте наличие аудитов на Immunefi и Solodit перед использованием нового моста. Третье: мосты с TVL менее $50 млн и историей менее 12 месяцев — повышенный риск. Четвёртое: диверсифицируйте: не переводите через один мост всю позицию.
Доход от крипто в РФ облагается НДФЛ 13% (до 2,4 млн ₽/год) или 15% сверх порога. Убытки от эксплойтов формально не вычитаются автоматически: ФНС не имеет устоявшейся практики признания таких потерь. Фиксируйте все транзакции с датами и рублёвым эквивалентом — это основа для консультации с налоговым специалистом по крипто.
В редких случаях — да: Wormhole компенсировал потери из резервов Jump Crypto, Ronin частично возместил через судебные иски и страховые фонды. Но это исключения. Большинство эксплойтов заканчиваются частичным или нулевым возвратом. Страхование через Nexus Mutual или InsurAce покрывает отдельные протоколы — проверяйте условия до входа.
| Протокол | Год / сумма потерь | Вектор атаки |
|---|---|---|
| Ronin Bridge | 2022 / $625 млн | Компрометация 5/9 валидаторских ключей |
| Wormhole | 2022 / $320 млн | Подделка подписи guardian |
| Nomad Bridge | 2022 / $190 млн | Ошибка инициализации: нулевой корень Merkle |
| Новые атаки 2026 | Оценка $200+ млн совокупно | Комбо replay + флэш-займ + оракул |
| Критерий | Мультисиговый мост | Light client / zkBridge |
|---|---|---|
| Модель доверия | Набор операторов с ключами | Математическая верификация состояния чейна |
| Исторический риск взлома | Высокий (Ronin, Wormhole) | Ниже, но баги в zk-схемах возможны |
| Скорость перевода | Быстрая (секунды — минуты) | Медленнее (верификация proof) |
| Стоимость транзакции | Ниже | Выше (вычисление доказательства) |
| Прозрачность аудита | Зависит от раскрытия команды | Открытые криптографические схемы |
Зайдите на Immunefi.com или Solodit.com и найдите страницу протокола. Проверьте дату последнего аудита — старше 18 месяцев без повторной проверки тревожный сигнал.
Откройте defillama.com, найдите мост в разделе Bridges. TVL менее $50 млн и возраст менее года — повышенный риск.
В документации протокола найдите раздел о валидации: мультисиг с малым кворумом или light client/zk-верификация. Уточните размер кворума и кто входит в набор валидаторов.
Не держите средства в мостовом контракте дольше одной транзакции. Переводите → сразу используйте или выводите в холодный кошелёк.
Сохраняйте хэши транзакций, даты и рублёвый эквивалент на момент операции. При возможном убытке от эксплойта это основа для работы с налоговым консультантом.
В редких случаях — да: Wormhole компенсировал потери из резервов Jump Crypto, Ronin частично возместил через судебные иски и страховые фонды. Но это исключения. Большинство эксплойтов заканчиваются частичным или нулевым возвратом. Страхование через Nexus Mutual или InsurAce покрывает отдельные протоколы — проверяйте условия до входа.
Immunefi — крупнейшая платформа Bug Bounty для DeFi. Протоколы размещают там программы вознаграждений за найденные уязвимости. Размер выплат (от $10K до $10 млн) косвенно отражает, насколько команда вкладывает в безопасность. Отсутствие страницы на Immunefi — не запрет, но повод задать вопрос.
Reentrancy — атака внутри одного смарт-контракта: функция вызывается повторно до завершения первого исполнения (классика — The DAO 2016). Replay — межсетевая: действительное сообщение одного чейна повторно исполняется в другом или том же чейне. Разные векторы, но оба связаны с отсутствием проверки «это уже было обработано».
Официальные мосты L2 (Arbitrum, Optimism, Base) верифицируются через механизм самого роллапа и считаются надёжнее сторонних. Но они медленнее при выводе (7-дневный период для optimistic rollups). Сторонние быстрые мосты предлагают скорость в обмен на доп. риск — каждый случай требует отдельной проверки.
Крупные аудиторские фирмы (Trail of Bits, OpenZeppelin, Zellic, Spearbit) публикуют отчёты на своих сайтах и на GitHub протоколов. Агрегатор Solodit.com собирает публичные аудиты в одном месте. Регулярность — раз в 6–12 месяцев при активном развитии протокола, но соблюдается не всегда.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
