Ончейн-безопасность Blockaid 20 мая обнаружила атаку на кроссчейн-мост Butter Bridge V3.1 в экосистеме MAP Protocol в Ethereum и BSC. Злоумышленники использовали дефект в проектировании смарт-контрактов и вынудили мостовой контракт незаконно чеканить около 10M 000 000 MAPO на новый созданный адрес — примерно в 4.8M раз больше, чем легальный объем обращения, составляющий 208 миллионов токенов.
Механизм атаки: дефект проектирования смарт-контракта в процедуре повторной валидации сообщения
Blockaid подтверждает, что первопричина этой атаки — дефект проектирования смарт-контракта в логике повторной валидации сообщений Butter Bridge V3.1. Это проблема на уровне реализации контракта, а не сбой базовой структуры протокола MAP Protocol. Злоумышленники, провоцируя выполнение контракта по ошибочному верификационному пути, заставили мостовой контракт обойти проверку легитимных кроссчейн-учётных данных и прямо на сети Ethereum чеканить токены на новый созданный EOA-адрес.
Кроссчейн-мосты технически требуют одновременной валидации сообщений из двух независимых блокчейнов: у каждой цепочки есть собственный механизм консенсуса, модель безопасности и правила финального подтверждения транзакций. MAP Protocol использует peer-to-peer модель и валидацию на легком клиенте, что в теории обеспечивает меньшую поверхность атаки по сравнению со схемами, где полагаются на верификаторов доверенной третьей стороны, но в этом инциденте проектный дефект логики повторной попытки предоставил точку входа для эксплуатации. Butter Network подтвердил, что работы по исправлению, аудиту и повторному развертыванию уже ведутся.
Масштаб потерь и реакция рынка MAPO: подтвержденные данные
Злоумышленники обналичили: 52,21 ETH (около 180 тыс. долларов), из Uniswap V4 ETH/MAPO пула ликвидности
Остаточная позиция злоумышленников: около 9 999,99 млрд MAPO — всё еще находится в кошельке злоумышленников и создаёт постоянный риск для всех пулов ликвидности, связанных с MAPO, а также для листингов на CEX
Влияние цены MAPO: после распродажи дневное падение около 30%
Общий объем незаконной эмиссии: около 10M 000 000 токенов, что в 4.8M раз больше легального объема обращения (208 миллионов токенов)
Суммарные потери от атак на кроссчейн-мосты в 2026 году (по состоянию на середину мая): более 328,6 млн долларов
Контрмеры, подтвержденные MAP Protocol и Butter Network
Официальное заявление MAP Protocol подтверждает выполнение следующих мер сдерживания: мост между MAPO ERC-20 и основной сетью MAPO приостановлен; предупреждение пользователям — сейчас не торговать MAPO ERC-20 на Uniswap, при этом в период смягчения инцидента пулы ликвидности сохраняют риски; команда координирует расследование с внешними партнёрами по безопасности.
Официальное заявление Butter Network подтверждает: ButterSwap приостановил все операции; выполняются работы по исправлению, аудиту и повторному развертыванию; ожидающие обработки транзакции будут обработаны после восстановления безопасности; средства пользователей не понесли прямых потерь, все затронутые транзакции будут в полном объеме обработаны после восстановления системы.
Частые вопросы
Является ли эта атака дефектом архитектуры на базовом уровне протокола MAP Protocol?
Blockaid подтверждает, что уязвимость относится к проблеме проектирования смарт-контракта Butter Bridge V3.1, конкретно — к процессу повторной валидации сообщений. Это дефект на уровне реализации контракта, а не корневая неисправность базовой peer-to-peer архитектуры MAP Protocol или модели валидации на легком клиенте. Butter Network в настоящее время исправляет этот компонент и проводит повторный аудит.
Почему остаточная позиция атакующего примерно в 9 999 млрд MAPO представляет постоянный риск?
У злоумышленника в кошельке всё еще находится около 9 999,99 млрд незаконно отчеканенных MAPO — на порядки больше легального объема обращения (208 миллионов токенов). Если злоумышленник решит направить эти токены в любой пул ликвидности MAPO или подаст заявку на листинг на централизованной бирже, это существенно ударит по цене MAPO и ликвидности. В объявлении Blockaid прямо указано, что эти активы «представляют постоянный риск для любых пулов MAPO или листингов на CEX».
Почему кроссчейн-мосты продолжают оставаться высокорисковой целью атак в DeFi?
Технически кроссчейн-мостам нужно обрабатывать сообщения одновременно из двух независимых блокчейнов, а каждая цепочка имеет разные механизмы консенсуса, модели безопасности и правила финального подтверждения. Обычно мостовые контракты блокируют большие объемы активов на одной из цепочек и чеканят соответствующие токены на другой. Если в логике моста есть дефект, злоумышленник может украсть заблокированные активы или чеканить токены без денежных резервов. Исторические примеры включают кражу более чем 186 млн долларов в 2022 году на Nomad Bridge (ошибка идентификационной валидации), атаки на Ronin Bridge и Wormhole; по состоянию на 2026 год суммарные потери от таких атак уже превысили 328,6 млн долларов.
