Кросс-чейн мосты потеряли 340,7 млн долларов в ходе 14 эксплойтов за 2026 год, согласно предупреждению PeckShield от 1 июня 2026 года. То, что задумывалось как основа блокчейн-интероперабельности, превратилось на практике в самую дорогостоящую точку атаки во всей DeFi. Это не череда случайных неудач, и это структурная закономерность.
В отрасли распространена следующая точка зрения: мосты это молодая инфраструктура. Уязвимости закроются по мере улучшения аудитов и созревания технологии. Данные 2026 года рассказывают иначе, и куда менее удобно. Проблема не в зрелости кода. Проблема в том, где код концентрирует стоимость.
Оптимистический тезис: это лишь вопрос времени
Оптимистический аргумент звучит убедительно. Мосты это сложное программное обеспечение, управляющее сообщениями между гетерогенными цепочками. Любая новая технология проходит через окно уязвимостей прежде чем стабилизироваться. Аудиты, программы bug bounty, непрерывный мониторинг: с правильными инструментами риск поддаётся контролю. Именно такую кривую прошли централизованные биржи после своих худших лет.
У этого рассуждения есть слепое пятно. Оно предполагает, что дефект случаен: серия багов, которые исправляются один за другим. Данные 2026 года указывают скорее на изъян проектирования, а не реализации.
Цифры, опровергающие оптимизм
В мае 2026 года зафиксировано 60 инцидентов, максимум за месяц за весь год, с валовыми потерями около 68,3 млн долларов, по данным PeckShield. Уязвимости кода составили 66% всех инцидентов, тогда как эксплойты мостов дали наибольший убыток среди всех типов инцидентов. Возврат средств составил лишь 13,7%. Почти девять из каждых десяти украденных долларов так и не вернулись.
Символическим случаем остаётся KelpDAO. PeckShield задокументировал на X динамику кросс-чейн эксплойтов 2026 года, и агрегированный вывод однозначен: мосты доминируют в рейтинге потерь.
Почему криптовалютные мосты взламывают снова и снова
Мосты концентрируют залоговое обеспечение десятков сетей в единой точке отказа, и одного изъяна в верификации сообщений достаточно, чтобы опустошить её. Это дефект проектирования, а не баг отдельного контракта. 18 апреля 2026 года злоумышленник вывел около 116 500 rsETH на сумму 292 млн долларов из моста KelpDAO, построенного на LayerZero. Chainalysis установил, что LayerZero по умолчанию задал кворум RPC 1 из 1: один скомпрометированный узел мог авторизовывать мошеннические кросс-чейн сообщения. Этот rsETH обеспечивал версии токена в более чем двадцати сетях, от Base до Arbitrum, от Linea до Scroll. Один изъян, двадцать экосистем под ударом.
Схема повторяется в меньшем масштабе, но с идентичной логикой. Злоумышленник чеканит, сбрасывает, переводит в другую сеть, затем отмывает. В одном из недавних случаев 1 285,5 ETH были проведены через миксер для сокрытия следов. Чеканка, сброс, мост, отмывание, и конвейер кражи стал индустриальным.
На это накладывается тема, которую SpazioCrypto уже рассматривал отдельно: появление ИИ-агентов, способных обнаруживать уязвимости быстрее, чем защитники успевают их закрыть. Этому посвящён отдельный материал.
Цель не исправит себя самостоятельно
Сопоставляя оба подхода, вывод оказывается менее утешительным, чем предлагает мейнстримный тезис. Пока мосты остаются единственными хранителями мультицепочечного залога, геометрия риска благоприятствует атакующему. Атакующему нужно найти одну точку, и защитнику необходимо закрыть все. Верификация с минимальным кворумом, оптимизации затрат, сокращающие проверки, давление с требованием запускать быстрее: каждый компромисс становится дверью. Цифра в 340,7 млн долларов за 2026 год это не сумма неудач. Это структурная цена архитектуры, которая так и не решила свою самую дорогостоящую проблему.
Тем, кто хочет разобраться в технических аспектах кросс-чейн верификации: европейские рекомендации по безопасности цифровой инфраструктуры публикует ENISA, а перемещения злоумышленников в сети отслеживаются на Etherscan.
