Волна взломов DeFi‑мостов в 2026 году

Следственные группы отмечали, что ранние признаки указывали на северокорейскую хакерскую группировку Lazarus (кластер TraderTraitor), хотя окончательная юридическая атрибуция официально не подтверждена.

Эксплойт THORChain

Другой заметный инцидент произошёл 15 мая 2026 года, когда кросс‑чейн протокол ликвидности THORChain потерял около $10,8 млн на нескольких сетях, включая Bitcoin, Ethereum и BNB Chain.

По версии исследователей безопасности, атака была связана с системой GG20 threshold‑signature, которая позволяет узлам совместно подписывать транзакции, не раскрывая полный приватный ключ.

Согласно анализу инцидента:

• один из узлов‑участников мог собирать фрагменты криптографических ключей во время обычных раундов подписания;
• со временем эти фрагменты позволили восстановить приватный ключ хранилища Asgard vault;
• получив ключ, атакующий смог подписывать несанкционированные выводы средств.

Этот случай показал риск, характерный для систем распределённой подписи: если злоумышленник получает достаточно фрагментов ключа, он может воссоздать контроль над хранилищем активов моста.

Взлом моста Verus–Ethereum

Следующий крупный инцидент произошёл 18 мая 2026 года, когда из кросс‑чейн моста между Verus и Ethereum было похищено около $11,58 млн.

Атакующий вывел активы, включая:

• 103,6 tBTC
• 1 625 ETH
• около 147 000 USDC

Затем средства были конвертированы в ETH.

Исследователи безопасности обнаружили, что причиной стал пробел в логике проверки транзакций:

• обе стороны моста выполняли собственные проверки;
• но ни одна из сторон не проверяла ключевое поле — сумму исходного перевода в исходной сети.

Из‑за этого злоумышленник мог отправить сообщение, которое выглядело корректным, но на самом деле представляло почти нулевую ценность в исходной сети, что позволило контракту разблокировать реальные средства из резерва.

Почему мосты продолжают взламывать

События 2026 года подтвердили предупреждение специалистов по безопасности блокчейнов: кросс‑чейн мосты часто являются самым рискованным элементом DeFi‑инфраструктуры.

1. Концентрация безопасности в небольшом числе валидаторов

Многие мосты зависят от небольшого набора валидаторов, релэеров или верификаторов, которые подтверждают сообщения между сетями. Если один из них скомпрометирован — как в случае KelpDAO — злоумышленник может авторизовать ложный перевод.

2. Риски приватных ключей и схем подписания

Часто мосты используют мультиподписи или threshold‑signature‑системы для управления хранилищами активов. Если атакующий получает доступ к достаточному числу фрагментов ключей или контролирует несколько узлов, он может сформировать валидную подпись для вредоносного вывода средств. Именно такой сценарий рассматривается в атаке на THORChain.

3. Неполная проверка межсетевых сообщений

Мост должен гарантировать, что событие в одной сети действительно произошло, прежде чем разблокировать средства в другой. Ошибки в логике проверки — как в случае Verus — позволяют поддельным доказательствам пройти проверку.

4. Уязвимость офчейн‑инфраструктуры

Кросс‑чейн системы сильно зависят от внешней инфраструктуры — RPC‑узлов, релэеров, мониторинговых сервисов и операционных инструментов. Если эти компоненты взломаны, злоумышленники могут подменять данные, которые используют сети проверки. Именно это произошло в атаке на KelpDAO.

Почему это проблема для всей экосистемы DeFi

Взломы мостов влияют не только на конкретный протокол. Они могут нарушить работу целых сегментов DeFi.

Когда мост ломается:

• обёрнутые активы (wrapped tokens) могут потерять обеспечение;
• кредитные рынки DeFi могут заморозить операции с такими токенами;
• ликвидность и маршруты кросс‑чейн обменов нарушаются.

Поскольку мосты выступают своеобразными центрами хранения активов, один успешный взлом способен вызвать цепную реакцию сразу в нескольких сетях и протоколах.

Волна атак в начале 2026 года показала, что проблема заключается не только в отдельных ошибках кода, а в архитектурных рисках всей модели кросс‑чейн взаимодействия. Пока мосты не перейдут к более надёжным схемам проверки, более децентрализованным валидаторам и защищённой инфраструктуре, они останутся одной из самых привлекательных целей для криптовзломов.