«Мосты — это не просто соединение сетей. Это точки максимального риска.»
— Хайден Шип, сооснователь MakerDAO
В ноябре 2025 года индонезийский проект децентрализованных платежей GANA Payment стал жертвой масштабной хакерской атаки: злоумышленники похитили $31,4 млн, скомпрометировав кросс-чейн мост между блокчейнами BSC и GANA Chain. Инцидент, вскрытый аналитической платформой BlockSec, стал очередным напоминанием: в эпоху мультичейна именно мосты остаются слабейшим звеном DeFi-инфраструктуры.
Хакеры обнаружили уязвимость в логике проверки подписей валидаторов моста. Вместо того чтобы атаковать смарт-контракт напрямую, они подменили данные о балансе на стороне BSC, заставив мост «поверить», что в пуле ликвидности находится значительно больше средств, чем на самом деле.
Затем злоумышленник инициировал перевод 31,4 млн USDT с BSC на GANA Chain. Мост, опираясь на поддельные данные, одобрил транзакцию и выпустил эквивалентную сумму на целевой сети. Всё это заняло менее 4 минут.
Как отметили исследователи BlockSec: «Атака не требовала взлома приватных ключей. Она использовала логическую ошибку в механизме подтверждения состояния.»
После атаки токен $GANA обвалился на 62%, а TVL (Total Value Locked) в экосистеме сократился с $180 млн до $47 млн. Команда GANA Payment немедленно приостановила работу моста и все операции по выводу средств.
Проект объявил о создании компенсационного фонда за счёт будущих комиссий и продажи немаркетинговых активов. Однако полное возмещение маловероятно: страховое покрытие через Nexus Mutual составляло всего $8 млн.
Особую озабоченность вызывает тот факт, что GANA Chain — частный блокчейн с ограниченным числом валидаторов. Это делает сеть уязвимой не только к техническим, но и к централизованным рискам.
По данным CertiK, в 2025 году 44% всех хакерских атак в DeFi были направлены на кросс-чейн мосты. Причины очевидны:
Как сказал аналитик из PeckShield: «Мосты превратились в магнит для хакеров. Пока отрасль не примет единые стандарты безопасности, такие атаки будут повторяться.»
Если TVL моста менее $50 млн, его безопасность не подкреплена экономической стоимостью. Предпочтение стоит отдавать мостам от LayerZero, Wormhole, Synapse с многомиллиардным TVL.
Идеальный мост использует децентрализованную сеть валидаторов или доказательства на основе ZK. Избегайте решений, где подтверждение зависит от 3–5 «доверенных» адресов.
Некоторые мосты (например, Optimism Bridge) вводят задержку в 7 дней для кросс-чейн переводов. Это снижает удобство, но повышает безопасность в разы.
Даже если мост не скомпрометирован, его смарт-контракт может содержать уязвимости. После перевода средств немедленно отзовите доступ через Revoke.cash.
Эксперты считают, что долгосрочное решение — отказ от мостов в пользу нативных мультичейн-протоколов:
Кроме того, развиваются ZK-мосты (zkBridge, Succinct), которые криптографически доказывают состояние одной цепи другой, без участия валидаторов.
Атака на GANA Payment — не провал технологии, а провал приоритетов. В погоне за скоростью и дешевизной проекты игнорируют базовые принципы безопасности. Пока мосты будут оставаться «холодными точками» в DeFi, хакеры будут находить в них новые уязвимости.
Как сказал Виталик Бутерин: «Лучший мост — это тот, который не нужен.»
И именно к такой архитектуре — где активы не нужно постоянно перемещать, а сети изначально совместимы и безопасны — движется индустрия. Потому что в мире, где $31 млн исчезают за 4 минуты, единственное, что дороже удобства — это доверие.
