Протокол TON Application Chain (TAC), обеспечивающий совместимость сетей TON и Ethereum, столкнулся с эксплойтом своего кроссчейн-моста 12 мая 2026 года. Атака затронула сторону TON, в результате чего были похищены активы примерно на $2,8 млн, включая USDT, BLUM и tsTON. Команда оперативно приостановила работу моста и пообещала полную компенсацию пострадавшим пользователям за счёт продажи токенов TAC из резервов фонда.
Спустя два дня ситуация приняла неожиданный оборот. 14 мая TAC сообщил, что хакер принял предложение проекта и вернул похищенные средства на указанные мультиподписные кошельки в сетях Ethereum и TON. В качестве вознаграждения злоумышленник получил 10% от суммы — примерно 13 ETH и 300 ZEC — что является стандартной практикой white hat bounty в индустрии. Команда прекратила взаимодействие с правоохранительными органами и отказалась от судебного преследования.
Инцидент оказал давление на курс токена TAC: за неделю его цена упала более чем на 21%, а рыночная капитализация сократилась с $91 млн до $79 млн. Общая заблокированная стоимость (TVL) протокола на момент взлома составляла около $2,74 млн, то есть эксплойт фактически равнялся всему объёму ликвидности проекта. Тем не менее, нативные токены TAC, TON и все ERC-20 не пострадали — уязвимость была изолирована исключительно в мосте для Jettons сети TON.
Эксплойт TAC стал частью серии атак на кроссчейн-решения в начале мая. Ранее аналогичные инциденты зафиксированы у Transit Finance ($1,88 млн на устаревшем смарт-контракте TRON), а также компрометации приватных ключей на $238 тыс. и эксплойт Diamond-прокси Aurellion Labs на $456 тыс. По данным CertiK, апрельские потери от взломов в криптоиндустрии достигли $651 млн — рекорд с марта 2022 года, не считая инцидента Bybit. Мост TAC остаётся приостановленным, дата возобновления не объявлена, но оставшиеся после выплаты вознаграждения средства будут переведены в безопасные мультиподписи.
