Cross-chain мосты 2026: $28,6 млн за май и почему взломы не прекращаются

Мост одновременно хранит ликвидность в нескольких чейнах и управляет синхронизацией состояний между ними — это принципиально сложнее, чем один смарт-контракт в одной сети. Три точки отказа сразу: валидаторы, которые подтверждают переводы; оракулы, которые передают цены; и логика смарт-контракта, которая исполняет минтинг. Ошибка в любой из них открывает путь к эксплойту. При этом TVL мостов исторически высок — атакующий получает крупный приз за успешный взлом.

Три основных вектора. Первый — ошибки валидации: конфигурация с одним активным валидатором («1/1 DVN») создаёт единую точку отказа; подделка сообщения позволяет минтить непокрытые токены. Второй — компрометация ключей: почти 40% валидаторов размещены у трёх облачных провайдеров, взлом инфраструктуры даёт контроль над большинством подписантов (прецедент — Ronin, $624 млн, 2022). Третий — атаки повторного входа: временной разрыв между чейнами позволяет двойно тратить один пул ликвидности до обновления реестра.

Ronin (март 2022) — $624 млн, группа Lazarus скомпрометировала валидаторы. Wormhole (февраль 2022) — $320 млн, ошибка валидации подписи. Nomad (август 2022) — $190 млн, баг в логике верификации сообщений. KelpDAO (апрель 2026) — $292 млн через уязвимость конфигурации валидаторов, непокрытые токены использованы как залог в Aave ($177 млн долга). Паттерн повторяется: эксплойт в коде или инфраструктуре валидаторов — и многомиллионные потери за часы.

Повышенным уровнем безопасности отличаются протоколы, перешедшие к криптографической верификации вместо доверия валидаторам: Wormhole (перестроен после взлома), Chainlink CCIP (независимые сети оракулов), Across Protocol (страховой механизм через UMA). ZK-мосты на базе доказательств с нулевым разглашением (Succinct Labs SP1) теоретически устраняют риск валидаторов, но находятся в стадии активного развития. Ни один мост не застрахован полностью — выбирайте протоколы с аудитами, bug bounty и тайм-локом на обновления.

Тайм-лок — задержка между предложением обновления смарт-контракта и его вступлением в силу (обычно 24–72 часа). За это время сообщество и аудиторы могут заметить вредоносный код, а пользователи — вывести средства. Мосты с высоким TVL без тайм-лока дают команде (или взломавшему её хакеру) возможность обновить контракт и вывести всё мгновенно. KuCoin-аналитики рекомендуют минимум 48-часовой тайм-лок для любого протокола с TVL выше $100 млн.

Само по себе использование моста — технический перенос актива между сетями — налоговым событием не считается, если не происходит обмена на другой актив. Но если мост конвертирует актив (например, ETH → WETH → bridged USDC через промежуточный своп), каждый обмен признаётся реализацией и облагается НДФЛ. Прогрессивная шкала: 13% до 2,4 млн ₽ дохода в год, 15% — до 5 млн ₽, 22% — свыше 50 млн ₽. Фиксируйте стоимость актива в ₽ до и после каждой операции.

При большинстве эксплойтов хакер минтит непокрытые токены на стороне назначения или выводит резервы с одной стороны моста. Пользователи получают токены, не обеспеченные реальными активами, либо не могут вывести средства вообще. Компенсации случаются редко и зависят от наличия страхового фонда у протокола — как это сделал Wormhole при поддержке Jump Crypto.