Криптоиндустрия столкнулась с очередным масштабным взломом: злоумышленники похитили $292 млн через уязвимость в инфраструктуре Kelp DAO, использующей кросс-чейн систему LayerZero. Этот инцидент стал свежим напоминанием о системных рисках, присущих мостам между блокчейнами — технологическим решениям, предназначенным для передачи активов и данных между различными сетями.
Суть проблемы, по мнению экспертов, лежит в фундаментальном архитектурном недостатке: большинство мостов не проводят независимую верификацию событий в исходной цепи. Вместо этого они полагаются на доверие к сторонней системе валидаторов или внешним сетям, таким как LayerZero или Axelar, которые сообщают о факте блокировки активов. Именно эта централизованная точка доверия становится главной мишенью для атак. В случае с Kelp DAO злоумышленники скомпрометировали узлы, передающие данные, и внедрили в систему ложную информацию, на основе которой были выпущены ничем не обеспеченные токены.
Бен Фиш, CEO Espresso Systems, поясняет: «Мост работал так, как был спроектирован. Он просто поверил неверной информации». Сергей Кунц, сооснователь 1inch, добавляет, что инциденты с мостами редко имеют единственную причину: «Вы видите уязвимости в коде, проблемы централизации, социальную инженерию, даже экономические атаки. Обычно это смесь факторов».
Эксперты указывают, что стимулы для стартапов часто противоречат безопасности. Команды сосредоточены на быстром запуске, привлечении пользователей и увеличении общего заблокированного капитала (TVL), в то время как построение безопасных систем требует значительных временных и финансовых ресурсов. Каждое новое подключение к дополнительному блокчейну увеличивает сложность и добавляет новые допущения в систему.
Последствия таких взломов редко остаются локализованными. Скомпрометированные активы, выпущенные через мост, используются в децентрализованных кредитных протоколах, ликвидностных пулах и стратегиях получения дохода, что приводит к эффекту заражения всей экосистемы DeFi.
В качестве потенциальных решений специалисты называют устранение единых точек отказа за счёт использования независимых источников данных, внедрение аппаратной защиты, улучшенный мониторинг и разработку архитектур, которые полагаются на криптографическую верификацию данных вместо доверия к посредникам. Однако, как отмечает Кунц, пока индустрия продолжает использовать мосты на основе валидаторов, проблемы будут сохраняться.
