21 травня токен MAPO проекту Map Protocol за кілька годин втратив 96% вартості. Зловмисник знайшов вразливість у крос-чейн мості Butter Network і скористався нею, щоб відкарбувати обсяги токенів, що незмірно перевищують реальний запас. Щоб зрозуміти, чому таке взагалі можливо, потрібно розглянути, як влаштовані подібні мости.
Що сталося вранці 21 травня?
За даними CoinTelegraph, атака відбулася в першій половині дня 21 травня 2026 року. Хакер знайшов прогалину у смарт-контракті Butter Network, крос-чейн мосту екосистеми Map Protocol. Підроблені транзакції система прийняла за справжні і видала дозвіл на карбування нових MAPO без реального забезпечення.
Відкарбований обсяг виявився астрономічним: квадрильйон токенів, тобто одиниця з 15 нулями. Увесь легальний запас MAPO вимірюється мільярдами. Ринок відреагував без зволікань, ціна впала на 96% за кілька годин. Торги на більшості майданчиків різко скоротилися або зупинилися.
Команда Map Protocol підтвердила факт атаки і тимчасово заблокувала роботу Butter Network для розслідування. Офіційна заява надійшла через кілька годин після інциденту.
Як влаштований Butter Network і де знайшли слабку ланку?
Крос-чейн міст дозволяє переміщати активи між різними блокчейнами. Принцип такий: токен блокується на вихідному ланцюжку, і система карбує його "дзеркальну" копію на цільовому. Саме через такі протоколи Ethereum-активи та стейблкоїни на кшталт USDT переміщаються між мережами.
Безпека мосту повністю залежить від надійності верифікації. Протокол перевіряє: чи реально заблокований актив на вихідному ланцюжку, перш ніж дозволити карбування на цільовому. Якщо цей контроль обійти, міст стає генератором довільної кількості токенів без жодного забезпечення.
У випадку Butter Network все пішло саме так. Хакер маніпулював вхідними даними верифікаційного модуля так, що система "повірила" у транзакції, яких насправді ніколи не існувало. Смарт-контракт отримав підтвердження блокування активів і видав дозвіл на карбування. Весь процес, за наявними даними, зайняв лічені хвилини до того, як команда зреагувала.
- Підробка вхідних даних: хакер надав неправдиві докази блокування активів на вихідному ланцюжку.
- Верифікаційний модуль прийняв ці дані як справжні і передав команду смарт-контракту.
- Смарт-контракт автоматично видав дозвіл карбувати MAPO у запрошеній кількості.
- До того, як команда заблокувала міст, процес вже завершився.
Чому квадрильйон нових токенів знищив 96% ціни за лічені години?
Ціна будь-якого активу відображає баланс попиту і пропозиції. Якщо раптово з'являються нові токени у кількості, що у сотні тисяч разів більша від існуючого запасу, частка кожного окремого власника у загальному обсязі миттєво зменшується. Власники починають продавати, продажі тиснуть на ціну, і падіння прискорюється.
Уявіть: друкарський верстат раптом випускає банкноти у 100 000 разів швидше за центробанк. Купівельна спроможність кожної купюри зменшується рівно настільки. З токенами відбувається те саме, але набагато швидше, бо ринок реагує автоматично через алгоритми і ордери.
96% за кілька годин не звучить як сюрприз. Це пряма математика масової інфляції, прискорена стрімкими продажами тих, хто першим помітив аномальний обсяг нових MAPO у блокчейні.
Чи це перший злам мосту такого масштабу?
Ні. Злами крос-чейн мостів давно виокремилися в окрему категорію атак у DeFi. У березні 2022 року злам Ronin Bridge коштував екосистемі Axie Infinity $625 млн. Nomad Bridge у серпні того ж року втратив $190 млн через схожу вразливість верифікації. Wormhole Bridge у лютому 2022 позбувся $320 млн через підробку підписів.
Схема повторюється: зловмисники знаходять слабке місце у механізмі перевірки транзакцій, обходять захист і отримують необмежений доступ до карбування або виведення коштів. Аудити знижують ризик, але не усувають його: складні системи верифікації важко протестувати на всі можливі сценарії атаки.
Повний технічний звіт від команди Map Protocol може відповісти на питання, чи проходив Butter Network достатньо глибокий аудит і що саме залишилося поза увагою.
Що зараз і чого чекати власникам MAPO?
На момент публікації офіційних заяв про компенсацію не надходило. Команда підтвердила зупинку мосту і веде розслідування. Після таких інцидентів проекти зазвичай публікують постмортем з описом вразливості, проводять повторний аудит і оголошують план дій.
Для власників MAPO можливі два сценарії. Якщо команда впровадить механізм масового "спалення" надлишкових токенів, протокол може відновити довіру. Якщо цього не станеться, ціна залишиться на рівнях після атаки і проект поступово втратить аудиторію. Прецеденти повноцінного відновлення після таких зламів є, але їх небагато.
Ситуація нагадує: при роботі з токенами маловідомих протоколів і крос-чейн мостами ризики суттєво вищі, ніж з активами першого ешелону. Диверсифікація і розуміння ризиків конкретного проекту залишаються основними інструментами захисту.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *