21 мая токен MAPO проекта Map Protocol за несколько часов потерял 96% стоимости. Злоумышленник нашел уязвимость в кросс-чейн мосту Butter Network и воспользовался ею, чтобы выпустить объем токенов, несоизмеримо превышающий реальный запас. Разбираем, как такое стало возможным и как устроен этот тип атаки.
Что произошло утром 21 мая?
По данным CoinTelegraph, атака произошла в первой половине дня 21 мая 2026 года. Хакер нашел брешь в смарт-контракте Butter Network, кросс-чейн моста экосистемы Map Protocol. Поддельные транзакции система приняла за настоящие и выдала разрешение на минтинг новых MAPO без реального обеспечения.
Отминченный объем оказался астрономическим: квадриллион токенов, то есть единица с 15 нулями. Весь легальный запас MAPO измеряется миллиардами. Рынок отреагировал без промедления, цена упала на 96% за несколько часов. Торги на большинстве площадок резко сократились или остановились.
Команда Map Protocol подтвердила факт атаки и временно заблокировала работу Butter Network для расследования. Официальное заявление поступило через несколько часов после инцидента.
Как устроен Butter Network и где нашли уязвимость?
Кросс-чейн мост позволяет перемещать активы между разными блокчейнами. Принцип такой: токен блокируется на исходном блокчейне, и система минтит его "зеркальную" копию на целевом. Именно через такие протоколы Ethereum-активы и стейблкоины вроде USDT перемещаются между сетями.
Безопасность моста целиком зависит от надежности верификации. Протокол проверяет: реально ли заблокирован актив на исходном блокчейне, прежде чем разрешить минтинг на целевом. Если этот контроль обойти, мост превращается в генератор произвольного количества токенов без какого-либо обеспечения.
В случае с Butter Network все пошло именно так. Хакер манипулировал входными данными верификационного модуля так, что система "поверила" в транзакции, которых на самом деле никогда не существовало. Смарт-контракт получил подтверждение блокировки активов и выдал разрешение на минтинг. Весь процесс, по имеющимся данным, занял считанные минуты.
- Подделка входных данных: хакер предоставил ложные доказательства блокировки активов на исходном блокчейне.
- Верификационный модуль принял эти данные как настоящие и передал команду смарт-контракту.
- Смарт-контракт автоматически выдал разрешение минтить MAPO в запрошенном количестве.
- До того, как команда заблокировала мост, процесс уже завершился.
Почему квадриллион новых токенов уничтожил 96% цены за считанные часы?
Цена любого актива отражает баланс спроса и предложения. Если вдруг появляются новые токены в количестве, в сотни тысяч раз большем существующего запаса, доля каждого отдельного держателя в общем объеме мгновенно уменьшается. Держатели начинают продавать, продажи давят на цену, и падение ускоряется.
Представьте: печатный станок вдруг выпускает банкноты в 100 000 раз быстрее центробанка. Покупательная способность каждой купюры уменьшается ровно настолько. С токенами происходит то же самое, но намного быстрее, потому что рынок реагирует автоматически через алгоритмы и ордера.
96% за несколько часов не выглядит неожиданным. Это прямая математика массовой инфляции, усиленная быстрыми продажами тех, кто первым заметил аномальный объем новых MAPO в блокчейне.
Это первый такой взлом моста в крипто?
Нет. Взломы кросс-чейн мостов давно выделились в отдельную категорию атак в DeFi. В марте 2022 года взлом Ronin Bridge обошелся экосистеме Axie Infinity в $625 млн. Nomad Bridge в августе того же года потерял $190 млн из-за похожей уязвимости верификации. Wormhole Bridge в феврале 2022 лишился $320 млн через подделку подписей.
Схема повторяется: злоумышленники находят слабое место в механизме проверки транзакций, обходят защиту и получают неограниченный доступ к минтингу или выводу средств. Аудиты снижают риск, но не устраняют его: сложные системы верификации трудно протестировать на все возможные сценарии атаки.
Полный технический отчет от команды Map Protocol может ответить на вопрос, проходил ли Butter Network достаточно глубокий аудит и что именно осталось вне поля зрения.
Что сейчас и чего ждать держателям MAPO?
На момент публикации официальных заявлений о компенсации не поступало. Команда подтвердила остановку моста и ведет расследование. После таких инцидентов проекты обычно публикуют постмортем с описанием уязвимости, проводят повторный аудит и объявляют план действий.
Для держателей MAPO возможны два сценария. Если команда внедрит механизм массового "сжигания" лишних токенов, протокол может восстановить доверие. Если же этого не произойдет, цена останется на уровнях после атаки и проект постепенно потеряет аудиторию. Прецеденты полноценного восстановления после таких взломов есть, но их немного.
Ситуация напоминает: при работе с токенами малоизвестных протоколов и кросс-чейн мостами риски заметно выше, чем с активами первого эшелона. Диверсификация и понимание рисков конкретного проекта остаются основными инструментами защиты.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *