13 апреля 2026 года компания CertiK, специализирующаяся на безопасности блокчейна, обнаружила эксплойт уязвимости, направленный на контракт кроссчейн-шлюза Hyperbridge. Злоумышленник подделал кроссчейн-сообщения, чтобы изменить административные права в контракте токена Polkadot (DOT), перенесённого на Ethereum, незаконно выпустил 1 миллиард перенесённых DOT и сразу их сбросил. Несмотря на номинальную стоимость, превышающую $1 миллиард, реальная прибыль злоумышленника составила лишь около 108,2 ETH — примерно $237 000. Этот «налёт» оказался неэффективным из-за недостаточной ликвидности, однако вновь привлёк внимание индустрии к давним проблемам безопасности кроссчейн-мостов.
Как была реализована уязвимость повторного воспроизведения MMR-доказательства
В чём заключалась техническая причина атаки? По классификации BlockSec Phalcon, уязвимость относится к эксплойту повторного воспроизведения MMR (Merkle Mountain Range) доказательства. Контракт HandlerV1 Hyperbridge в механизме защиты от повторов проверял только, использовался ли ранее хеш запрошенного коммитмента, но процесс верификации доказательства не связывал отправленный запрос с проверяемым доказательством.
Этот логический пробел позволил злоумышленнику повторно использовать ранее принятое валидное доказательство, сопоставить его с новым вредоносным запросом и выполнить путь TokenGateway.onAccept(), осуществив операцию ChangeAssetAdmin. В результате административные права и права выпуска токенов в контракте перенесённого DOT на Ethereum перешли под контроль злоумышленника. Позднее Hyperbridge подтвердил, что корень проблемы находился в функции VerifyProof(), которая не проверяла входные данные на условие leaf_index < leafCount, что позволило злоумышленнику подделывать Merkle-доказательства. По сути, это классическая комбинация «атака повтором + повышение привилегий»: криптографические примитивы не были взломаны, эксплойт использовал разрозненную логику проверки в разных модулях.
Почему 1 миллиард DOT принёс лишь $237 000
Самый показательный момент этой атаки — контраст между количеством токенов и реальной прибылью. По данным Lookonchain, до сброса цена перенесённого DOT на Ethereum составляла примерно $1,22, что теоретически давало возможность арбитража на сумму более $1,2 миллиарда.
Однако перенесённый DOT на Ethereum имел крайне ограниченную ликвидность. Злоумышленник сбросил все 1 миллиард токенов через Odos Router и пул ликвидности Uniswap V4, мгновенно обрушив цену с $1,22 почти до нуля. Выпущенное количество было в 2 805 раз больше заявленного оборотного предложения — около 356 000 токенов. Такой объём полностью подавил и без того неглубокие пулы ликвидности, вызвал сильнейший проскальзывание и сделал большую часть новых токенов бесполезными. Злоумышленник мог создавать токены, но не мог создать спрос или ликвидность.
Граница безопасности между перенесёнными и нативными активами
Важно уточнить: целью атаки стал контракт перенесённого DOT, размещённый на Ethereum, а не Polkadot на нативной цепочке. Официальная команда Polkadot заявила, что уязвимость затронула только DOT, перенесённый через Hyperbridge на Ethereum; нативный DOT и другие активы внутри экосистемы Polkadot не пострадали. Hyperbridge — сторонний кроссчейн-шлюз, разработанный Polytope Labs, не входящий в официальную инфраструктуру Polkadot.
Это различие подчёркивает центральный парадокс безопасности кроссчейн-мостов: смарт-контракты перенесённых активов размещаются независимо на целевой цепочке, и их стандарты аудита и мониторинга могут отличаться от нативной цепи. Злоумышленникам не нужно вмешиваться в слой консенсуса основной цепи; достаточно эксплуатировать уязвимость в контракте моста, чтобы нанести серьёзный ущерб на целевой цепи. Владельцы перенесённых активов сталкиваются с рисками не только со стороны основной цепи, но и из-за безопасности контрактов инфраструктуры моста.
Атаки на кроссчейн-мосты: тенденции 2026 года
Атака на Hyperbridge не была единственным инцидентом в 2026 году. По отраслевым данным, убытки от взломов DeFi в первом квартале 2026 года составили около $168 миллионов. Хотя это резкое снижение по сравнению с примерно $1,58 миллиардами в первом квартале 2025 года, структурные риски сохраняются. В феврале 2026 года мост CrossCurve потерял около $3 миллионов из-за уязвимости смарт-контракта; мост ioTube понёс убытки свыше $4,4 миллиона после утечки приватного ключа владельца валидаторного контракта на стороне Ethereum. Исторически кроссчейн-мосты составляют более 60% крупных инцидентов безопасности DeFi, оставаясь одной из самых прибыльных целей для хакеров.
Исследовательская компания Sherlock в отчёте по безопасности кроссчейн-протоколов в начале 2026 года отметила, что современные атаки на кроссчейн-мосты следуют предсказуемым схемам: предположения о доверии кодируются как детерминированные гарантии, аутентификация нарушается на границах сообщений, все права предоставляются через единственный путь исполнения. Инцидент с Hyperbridge полностью соответствует этой модели — контракт предполагал, что цепочка безопасности MMR-доказательства и запроса неразрывна, но логический пробел в коде сделал это предположение неверным.
Является ли низкая ликвидность «щитком» или дополнительным риском?
В данном случае низкая ликвидность объективно сыграла роль «щитка», ограничив прибыль злоумышленника $237 000. Если бы аналогичная уязвимость была реализована для более ликвидного или ценного перенесённого актива, убытки могли бы быть многократно выше. Этот парадокс «ограниченных потерь при крайне высоком риске» — одна из самых сложных проблем безопасности кроссчейн-протоколов: индустрия может недооценивать структурную угрозу, ориентируясь на небольшие разовые потери.
С другой стороны, недостаточная ликвидность перенесённых активов — проблема для здоровья рынка. Оборотное предложение DOT на Ethereum составляло всего около 356 000 токенов, а ликвидность была крайне низкой, поэтому даже без атаки крупные сделки приводили бы к сильному проскальзыванию и затрудняли нормальное использование актива. Хотя низкая ликвидность «спасла Polkadot» в данном случае, она выявила глубокие уязвимости в слое кроссчейн-интероперабельности — перенесённые активы лишены как достаточной рыночной глубины, так и резервов безопасности.
В чём главный противоречие безопасности кроссчейн-мостов?
Суть проблем безопасности кроссчейн-мостов — фундаментальное противоречие «миграции доверия». Кроссчейн-мост — это своего рода «адаптер безопасности»: он переводит информацию о финальности, членстве и авторизации с одной цепи в доверенные инструкции для среды исполнения другой цепи. Любой логический пробел в этом процессе может быть использован злоумышленниками.
Отрасль сталкивается с комплексными вызовами: код кроссчейн-мостов гораздо сложнее смарт-контрактов одной цепи, требует координации между оракулами, ретрансляторами, валидаторами и другими компонентами. Многие проекты спешат с запуском, руководствуясь принципом «быстрее на рынок», а не «полное понимание системы», закладывая риски в технические решения. Кроме того, математически доказуемые методы безопасности, такие как формальная верификация, пока не стали отраслевым стандартом, а глубина и частота сторонних аудитов сильно различаются.
Куда должна двигаться безопасность кроссчейн-мостов?
Из этого инцидента можно сделать несколько чётких выводов. Во-первых, механизмы верификации должны обеспечивать сквозное связывание между запросами и доказательствами, исключая логические пробелы. Во-вторых, кроссчейн-протоколы должны реализовывать принцип минимальных привилегий и многофакторную верификацию как базовые элементы дизайна, а не как дополнение. В-третьих, индустрии нужны более прозрачные модели доверия — пользователи должны ясно понимать предположения безопасности и границы риска при использовании кроссчейн-мостов. Наконец, аудит безопасности должен эволюционировать в сторону формальной верификации и непрерывного мониторинга, переходя от «разовых проверок» к «полной защите на протяжении жизненного цикла».
Кроссчейн-мосты — это критическая инфраструктура для соединения мультицепочных экосистем, и повышение их безопасности напрямую влияет на будущее Web3 интероперабельности. Истинная ценность инцидента с Hyperbridge — не в потере $237 000, а в почти абсурдной демонстрации ключевой истины безопасности кроссчейн-протоколов: разрушительная сила уязвимости зависит не от амбиций злоумышленника, а от того, насколько серьёзно дизайн системы учитывает свои предположения безопасности.
Резюме
Уязвимость повторного воспроизведения MMR-доказательства в кроссчейн-мосте Hyperbridge выявила фундаментальный логический пробел в верификации кроссчейн-протоколов — отсутствие связывания между запросами и доказательствами. Используя этот изъян, злоумышленник выпустил 1 миллиард перенесённых DOT, но смог реализовать лишь около $237 000 из-за серьёзного дефицита ликвидности на Ethereum. Инцидент не затронул нативную цепь Polkadot, однако подчеркнул структурную хрупкость перенесённых активов как в вопросах аудита безопасности, так и в глубине ликвидности. Атаки на кроссчейн-мосты продолжились в 2026 году, и индустрия должна системно повышать стандарты безопасности в трёх направлениях: связывание механизмов верификации, минимизация управления привилегиями и формальная верификация безопасности.
Часто задаваемые вопросы
В: Повлияет ли выпуск 1 миллиарда DOT в ходе атаки на Hyperbridge на общий объём нативных токенов Polkadot DOT?
О: Нет. Выпущенные токены — это перенесённый DOT, размещённый на Ethereum через Hyperbridge, то есть обёрнутые активы, а не нативный DOT на основной цепи Polkadot. Общий объём и безопасность нативных DOT полностью сохранены.
В: Почему злоумышленник получил только $237 000 вместо номинальной стоимости 1 миллиарда DOT?
О: Главная причина — крайне ограниченная ликвидность перенесённого DOT на Ethereum. Когда злоумышленник сбросил 1 миллиард токенов, сильное проскальзывание обрушило цену с $1,22 почти до нуля, и большая часть новых токенов стала невозможной для монетизации.
В: Что такое уязвимость повторного воспроизведения MMR-доказательства?
О: MMR (Merkle Mountain Range) — разновидность дерева Merkle, часто используемая для проверки данных в легких клиентах блокчейна. В этом инциденте основная проблема заключалась в том, что контракт HandlerV1 Hyperbridge не связывал доказательство и запрос при верификации, что позволило злоумышленнику повторно использовать исторически валидные доказательства и сопоставлять их с поддельными новыми запросами для обхода проверки и получения административных прав.
В: Почему кроссчейн-мосты часто становятся целью атак?
О: Кроссчейн-мосты обладают правами управления контрактами токенов. Если механизм верификации нарушается, злоумышленники могут получить неограниченные права выпуска или кражи активов. Мосты включают смарт-контракты на нескольких цепях и координацию с внецепочечными компонентами, что значительно расширяет поверхность атаки по сравнению с протоколами одной цепи и делает их привлекательной целью для хакеров.
В: Как владельцам перенесённых DOT оценивать свои риски?
О: Владельцы перенесённых активов должны понимать, что риски исходят не только от основной цепи, но и от безопасности контрактов инфраструктуры моста. Рекомендуется тщательно изучить историю аудита протокола моста, объёмы заблокированных активов и прошлые инциденты безопасности перед участием в предоставлении ликвидности или хранении перенесённых активов.
