В традиционном мире банки защищены: сталь, сейфы, охрана, камеры.
В Web3 всё иначе: миллионы долларов хранятся в смарт-контрактах, и иногда один неверный символ в коде стоит дороже, чем целое отделение банка.
Так было в ночь, когда кроссчейн-мост SkyBridge (название вымышленное, но схема реальная и типичная) потерял $124 млн за 11 минут.
Ни одного выстрела, ни одной маски, ни громкого ограбления.
Только хеши транзакций, которые оставили идеальный цифровой след.
Это расследование — о том, как устроены Bridge Hack, почему они становятся самыми дорогими преступлениями в истории крипты и что цепочка транзакций показывает тем, кто умеет смотреть.
содержимое
- 1 Краткое описание инцидента
- 2 Как всё началось — первый шаг хакеров
- 3 Как схема развивалась — второй шаг
- 4 Лёгкий блокчейн-трейсинг — цепочка транзакций
- 5 Кто мог стоять за схемой (OSINT-версии)
- 6 Психология скама и ошибок — почему никто не увидел угрозу
- 7 Последствия взлома
- 8 Как защититься — рекомендации от расследователей
- 9 Вывод — уроки из этого расследования
- 10 CTA — следующее расследование уже готовится
Краткое описание инцидента
SkyBridge — популярный кроссчейн-мост, который связывает Ethereum, BNB, Polygon и Arbitrum.
Ночью контракт стал выводить деньги на неизвестный адрес:
$124 300 000 в ETH, USDT и USDC ушли в пустоту.
Сайт замолчал.
Официальные аккаунты написали об «аномальной активности».
Команда заблокировала интерфейс, но было поздно — активы уже оказались в руках преступника.
Типичный Bridge Hack:
одна точка уязвимости → мгновенный взлом → миллионы исчезают.
Как всё началось — первый шаг хакеров
Каждый взлом моста начинается не с атаки, а с подготовки.
Преступники ищут слабое место — верификацию сообщений между сетями.
Мосты работают так:
- активы блокируются в одной сети,
- чеканится «зеркальный» токен в другой,
- система проверяет подписи валидаторов.
Хакеры нашли ошибку в механизме валидации.
SkyBridge использовал схему «multisig», но один из валидаторов:
- использовал устаревшую библиотеку,
- имел уязвимость в проверке подписи,
- принимал фальшивые сообщения как настоящие.
Это идеальная точка входа.
Хакерам не нужно было атаковать всю сеть — только одного валидатора.
Как схема развивалась — второй шаг
Когда удалось подделать подпись, хакеры создали фальшивое сообщение:
«Пользователь X запросил перевод 46 000 ETH с Ethereum на BNB».
Мост поверил.
Контракт послушно перечислил средства на адрес злоумышленника.
Но деньги не были заблокированы на стороне отправителя — это была фикция.
Хакеры повторили действие ещё 27 раз, каждый раз увеличивая сумму.
Всё произошло настолько быстро, что большинство аналитиков узнали о взломе через 40 минут — уже после того, как средства были выведены в приватные миксеры.
Лёгкий блокчейн-трейсинг — цепочка транзакций
Представляем реконструированную цепочку (адреса вымышленные, но логика полностью реальная):
Шаг 1 — фальшивое кроссчейн-сообщение
Адрес хакера:0xHack...0042
Сообщение, принятие которого видно в логах:FakeMessage #1137: transfer 46 000 ETH
По данным Etherscan видно:
- сообщение пришло от валидатора
- подпись валидатора корректная (подделана)
- оригинального запроса от пользователя нет
Красный флаг: отсутствие вызова функции lock().
Шаг 2 — мост отправляет средства
SkyBridge Contract → 0xHack...0042
Переводы:
- 46 000 ETH
- 28 500 ETH
- 7 200 ETH
- 31 800 ETH
- USDT / USDC на $21 млн
Хакер делает 31 транзакцию за 10 минут.
Цепочка транзакций показывает идеальный контроль над эксплойтом — значит, у злоумышленника был заранее подготовленный эксплойт-скрипт.
Шаг 3 — Дробление средств
Хакер дробит всё на сотни кусочков:
- ETH → 89 адресов
- USDT → 61 адрес
- USDC → отправлен через три разных моста (Orbit, Multichain, Rhino)
Шаг 4 — Уход в приватность
Через 6 часов появляются транзакции:
- Tornado Cash
- Railgun
- FixedFloat
- THORSwap (в обход KYC)
OSINT показывает, что часть адресов уже была обнаружена в атаке на небольшой NFT-мост в 2024 году — возможно, это та же команда.
Кто мог стоять за схемой (OSINT-версии)
Версия №1 — Североазиатская группа “SilentBridge”
Схожее дробление и последовательность вывода.
Ранее атаковала LayerZero в тестовой среде.
Версия №2 — криптопреступные DevOps-команды из Telegram
Существуют приватные чаты, где продаются:
- эксплойты
- баги
- «поддельные подписи валидаторов»
- готовые bridge-drain скрипты
Цена таких инструментов: $25 000–$60 000.
Версия №3 — инсайдерская утечка
OSINT показывает, что один из валидаторов SkyBridge был взломан за 2 недели до атаки.
Возможно, его приватный ключ был украден заранее.
Психология скама и ошибок — почему никто не увидел угрозу
Bridge Hack — не человеческая ошибка инвесторов.
Это ошибка разработчиков и аналитиков безопасности.
Но психологические факторы сыграли роль:
1. «Мосты большие, значит безопасные»
Ложное ощущение надёжности.
2. «Если все пользуются, значит всё нормально»
Социальное доказательство.
3. «Код проверен аудитом»
Но много мостов проходят аудит частично или используют устаревшие версии библиотек.
4. «Мосты проверяют валидаторы»
Но никто не проверяет самих валидаторов.
Последствия взлома
- Потери: $124 млн
- Упало доверие к мосту
- Цена нативного токена SkyBridge — минус 62%
- Команда вынуждена остановить работу
- Частично средства заблокированы на биржах (~9%)
- Начато судебное разбирательство в нескольких странах
Кроссчейн-мосты — «китайская стена» Web3, но их основная слабость — человеческий фактор.
Как защититься — рекомендации от расследователей
🔥 КРАСНЫЕ ФЛАГИ BRIDGE HACK
- устаревшие библиотеки (особенно ECDSA)
- валидаторы без холодных ключей
- нет публичных аудитов
- нет Proof-of-Reserves
- centralized multisig
- нет мониторинга фальшивых сообщений
Как пользователям защитить свои активы
- Не хранить большие суммы в мостах.
- Использовать только проверенные мосты: LayerZero, Stargate, Wormhole (после обновлений).
- Проверять аудит через CertiK, Trail of Bits.
- Смотреть статус валидаторов.
- Подписываться на каналы мониторинга инцидентов (ScamSniffer, PeckShield, ZachXBT).
- Использовать мультисетевые кошельки и дробить активы.
- Сразу выводить средства после бриджа, не держать их в контракте.
Вывод — уроки из этого расследования
Bridge Hack — это не атакa на пользователя.
Это атака на инфраструктуру.
Именно поэтому такие взломы становятся самыми дорогими преступлениями Web3.
Главный урок:
Неважно, насколько силён блокчейн. Система ровно настолько безопасна, насколько безопасно её самое слабое звено.
Сегодня — это кроссчейн-мосты.
Центры риска, через которые каждый день проходят миллионы долларов.
Знать, как устроены такие взломы, — значит понимать, как защитить себя и свои активы.
CTA — следующее расследование уже готовится
Хочешь увидеть:
- как работают drain-атаки через approve,
- кто стоит за крупными rug pull,
- какой OSINT нужен крипто-следователю,
- или как находят украденные средства?
Подписывайся, и я разберу следующий кейс в стиле Netflix Crime.
Также доступна личная проверка мостов и проектов на уязвимости.
