Мосты блокчейн и проблемы безопасности кросс-чейн

Введение

Интероперабельность блокчейнов — это ключевая особенность технологии, широко используемой современными DeFi-приложениями. Инвесторы привлекаются возможностью получать прибыль одновременно с нескольких цепочек. Пользователи блокчейна Bitcoin могут получать доход на цепочке Ethereum, а те, кто работает на Ethereum, имеют возможность переносить свои активы или их обернутые версии в другие сети, чтобы одна блокчейн-система оставалась связанной с другими. Однако эта интероперабельность и гибкость не обходятся без компромиссов. Они порождают проблемы, которых не было бы, если бы активы оставались на одной цепочке.

Что такое мосты блокчейнов?

Мосты блокчейнов — это инструменты, позволяющие пользователям перемещать данные, сообщения и активы с одной сети на другую. Следует знать, что блокчейн — это закрытая экосистема, которая не может напрямую взаимодействовать с внешним миром или с другой блокчейн-системой. Они полагаются на оракулы для получения внешней информации и на мосты для соединения с другими цепочками. В качестве посредников эти мосты блокируют цифровую валюту на одной цепочке и делают её доступной на других в виде обернутых версий или других эквивалентных форм. Пользователи получают возможность пользоваться приложениями, ликвидностью и возможностями заработка, недоступными на их родной цепочке.

Основные вопросы безопасности

Когда вы выводите деньги из своего физического или виртуального кошелька, их могут украсть, перехватить или вас могут мошенническим образом убедить перевести свои деньги на чужой счет по ошибке. То же самое может произойти в мире DeFi, когда вы переносите свои цифровые активы с одной цепочки на другую. Согласно последним отраслевым анализам, к середине 2025 года было использовано уязвимостей в кросс-цепочных мостах для кражи активов на сумму примерно 2,8 миллиарда долларов. Эта цифра показывает, что мосты остаются основной целью для злоумышленников. Причин таких масштабных эксплойтов может быть несколько.

1. Риски слабой валидации на цепочке

Мосты блокчейнов бывают разных типов и разновидностей. Некоторые используют базовую безопасность, другие — безопасность на базе смарт-контрактов. Первые полагаются в основном на централизованный бэкенд для выполнения таких операций, как создание, сжигание и перевод токенов, в то время как все проверки выполняются вне цепочки.

Мосты, использующие смарт-контракты для безопасности, работают немного лучше. Смарт-контракты валидируют сообщения и проводят проверки прямо в цепочке. Когда пользователь переводит средства в сеть блокчейна, смарт-контракт генерирует подписанное сообщение в качестве доказательства. Эта подпись затем используется для подтверждения снятий на другой цепочке. Здесь и возникают уязвимости. Злоумышленники могут украсть средства, проходящие через мост, если эта проверка на цепочке даст сбой. Они могут либо обходить проверку напрямую, либо подделывать необходимые подписи.

Кроме того, когда мост использует концепцию обернутых токенов, злоумышленник может перенаправить эти токены на свой счет, лишая отправителя и получателя их активов. Например, пользователь намеревается отправить $ETH монет с Ethereum на Solana. Мост получает $ETH с Ethereum и выпускает обернутые $ETH на Solana. Проблема усугубляется, когда мосты требуют бесконечных разрешений для экономии газа.

Теперь происходят две опасные ситуации. Во-первых, если злоумышленники удастся перехватить транзакцию, они опустошат кошелек пользователя из-за бесконечного разрешения. Во-вторых, это разрешение остается действительным долгое время после выполнения транзакции. Поэтому даже если первая транзакция прошла безопасно, пользователь может покинуть цепочку, а злоумышленники смогут воспользоваться уязвимостью.

2. Вопросы, связанные с внецепочной проверкой

Иногда мосты блокчейнов используют систему внецепочной проверки дополнительно к внутренней, и это еще более опасно. Прежде чем рассматривать риски, важно понять, как работает система внецепочной проверки. Внутрисетовая проверка осуществляется прямо в блокчейне, где мост проверяет подписи транзакций или подтверждает транзакцию с помощью своих смарт-контрактов. Если мост использует внецепочную проверку, он полагается на сервер за пределами блокчейна. Этот сервер проверяет детали транзакции и отправляет положительный отчет целевой цепочке.

Например, пользователь вносит токены на Solana и хочет использовать их на Ethereum. Сервер моста проверяет первую транзакцию и подписывает инструкции для Ethereum. Это похоже на одобрение процедуры только по виду квитанции, которая может быть поддельной. Уязвимость заключается в чрезмерной доверенности, возложенной на серверы моста. Если злоумышленники смогут их обмануть, система будет скомпрометирована.

3. Риски неправильного обращения с нативными токенами в мостах блокчейнов

Мосты отправляют нативные токены напрямую в целевые сети, но для отправки других токенов им требуется предварительное разрешение. У них есть встроенные системы для выполнения этих задач. Проблемы возникают, когда мосты случайно не управляют различиями. Если пользователь попытается перевести $ETH токенов, используя систему, предназначенную для нефункциональных утилитных токенов, он потеряет средства.

Дополнительные риски возникают, когда мосты позволяют пользователям вводить любой адрес токена. Если мост не строго ограничивает список допустимых токенов, злоумышленники могут воспользоваться этой свободой. Хотя многие мосты используют белые списки для разрешения только одобренных токенов, нативные токены не имеют адреса или представлены нулевым адресом. Если это неправильно обработать, злоумышленники могут обойти проверки. Это может привести к транзакциям без фактической передачи токенов, что фактически обманет мост, заставив его выпустить активы, которых он никогда не получал.

4. Как ошибки конфигурации могут сломать мосты блокчейнов

Мосты блокчейнов зависят от специальных настроек администратора для управления важными действиями. Эти настройки включают одобрение токенов, управление подписантами и установку правил проверки. Если эти настройки настроены неправильно, мост может выйти из строя. В одном реальном случае небольшое изменение во время обновления привело к тому, что система начала принимать все сообщения как действительные. Это позволило злоумышленнику отправлять поддельные сообщения и обходить все проверки, что привело к серьезным потерям.

Заключение

Короче говоря, мосты блокчейнов предоставляют большую пользу для заработка на нескольких сетях одновременно, но при этом несут серьезные риски, которые необходимо уметь управлять при использовании этих инструментов. Мосты играют важную роль в обеспечении кросс-цепочной интероперабельности и расширении возможностей DeFi, однако остаются одними из самых уязвимых частей экосистемы. Слабая валидация на цепочке, рискованная внецепочная проверка, неправильное обращение с нативными токенами и простые ошибки конфигурации сделали мосты основной целью масштабных атак.

По мере роста активности между цепочками пользователи и разработчики должны уделять приоритетное внимание безопасности, ограничивать разрешения, отдавать предпочтение хорошо проверенным проектам и понимать связанные с этим риски. В конечном итоге, безопасная архитектура мостов и информированное использование — это ключ к тому, чтобы интероперабельность не обходилась потерей активов.