Разработка кросс-чейн мостов: архитектура, риски, реализация

В октябре 2022 года мост Binance BNB Chain потерял $570M — атакующий подделал Merkle proof в BSC's native bridge. В феврале того же года Wormhole потерял $320M: верификация подписей guardians была обойдена через баг в Solana's secp256k1 program. Ronin Bridge — $625M. Это не случайности. Мосты — самая атакуемая инфраструктура в Web3, потому что они агрегируют ликвидность и имеют сложную межцепочечную логику верификации.

Почему мосты ломаются: три архитектурных класса уязвимостей

Проблема finality и reorg. Ethereum имеет probabilistic finality до Merge и economic finality после (2 эпохи, ~12 минут). Bitcoin — ~6 блоков (~60 минут). Solana — ~400ms. Если мост минтит wrapped tokens на целевой цепочке сразу после 1-2 блоков на исходной — reorg на 3+ блоков позволяет атакующему получить токены на целевой цепочке при откате транзакции на исходной. Правильная защита: ждать finality confirmation, специфичный для каждой цепочки. Для Ethereum — 64+ блоков (2 эпохи). Не один блок.

Верификация подписей. Большинство мостов используют multisig committee или threshold signature: N из M валидаторов должны подписать событие с исходной цепочки. Wormhole использовал 13 из 19 guardians. Атака была не на сами ключи — атакующий нашёл уязвимость в коде верификации подписей на Solana, где устаревший sysvar account принимался как валидный без проверки. On-chain верификация подписей — сложнее, чем кажется.

Lock-and-Mint vs Burn-and-Mint. В Lock-and-Mint модели оригинальные токены заблокированы в контракте на исходной цепочке, wrapped токены минтятся на целевой. Контракт на исходной цепочке — honeypot: там весь locked TVL. Один баг в unlock логике — и все средства доступны атакующему без необходимости что-либо делать на целевой цепочке. Native Burn-and-Mint (как у Circle CCTP для USDC) безопаснее: нет locked pool.

LayerZero: как работает omnichain messaging

LayerZero — протокол передачи произвольных сообщений между цепочками. Не мост сам по себе, а инфраструктура для построения мостов и omnichain приложений.

Архитектура: Endpoint контракт на каждой цепочке, Executor (доставляет сообщения на целевую цепочку), DVN (Decentralized Verifier Network — верифицирует факт транзакции на исходной цепочке).

Source chain:
  OApp.send() → Endpoint.send() → [emits packet event]

Destination chain:
  DVN verifies packet hash → Executor calls Endpoint.deliver() → OApp.lzReceive()

В v2 разработчик выбирает DVN: официальные (LayerZero Labs, Google Cloud, Polyhedra), или кастомные. Можно настроить required DVN + optional DVN: сообщение принимается только если все required DVN подтвердили. Это позволяет строить мосты с разным trade-off между безопасностью и скоростью.

OApp (Omnichain Application) — базовый контракт для интеграции. Наследуешь OApp, реализуешь _lzSend и _lzReceive. Для токен-мостов — OFT (Omnichain Fungible Token) стандарт из коробки делает burn-on-source / mint-on-destination.

Wormhole: guardian network и Message Passing

Wormhole использует сеть из 19 guardians (крупные компании типа Jump Crypto, Everstake и т.д.), каждый из которых подписывает наблюдаемые события. Threshold — 13 из 19. VAA (Verified Action Approval) — подписанное сообщение, которое принимается на целевой цепочке.

Главное отличие от LayerZero: Wormhole имеет нативную поддержку не-EVM: Solana, Aptos, Sui, Algorand, Near. Для проектов, которым нужен мост между Ethereum и Solana — Wormhole часто единственный production-ready вариант.

После эксплойта 2022 года Wormhole добавил Native Token Transfers (NTT) — архитектура без locked pool, аналогичная CCTP. NTT + Hub-and-Spoke модель: избыточная ликвидность не накапливается на одной цепочке.

Relay архитектура и light client верификация

Relay-based мосты (IBC в Cosmos ecosystem, Succinct's Telepathy) верифицируют состояние исходной цепочки через light client на целевой цепочке. Для EVM→EVM: контракт на Ethereum хранит и верифицирует BLS-подписи блоков исходной цепочки.

ZK-bridges — следующий уровень. Succinct, Polyhedra zkBridge, Electron Labs генерируют ZK-proof корректности консенсуса исходной цепочки. На целевой цепочке верифицируется proof, не подписи валидаторов. Убирает доверие к committee. Но верификация ZK-proof дорогая по газу — от 200k до 500k gas на Ethereum L1 в зависимости от системы доказательств.

Реализация: что нужно учесть до первой строки кода

Выбор messaging layer зависит от поддерживаемых цепочек, требований к latency, допустимой модели доверия. Нет универсального ответа.

Обязательные компоненты любого production моста:

Паузер. Emergency pause функция, вызываемая мультисигом или автоматически при обнаружении аномалии (подозрительный объём, нехарактерная последовательность вызовов). Большинство взломанных мостов не имели или не использовали паузер вовремя.

Rate limiting. Ограничение объёма вывода за временной интервал. Если атакующий дренирует мост — rate limit даёт время на реакцию. Реализация: transferVolume[currentEpoch] += amount; require(transferVolume[currentEpoch] <= epochLimit).

Finality checks. Специфичные для каждой цепочки. Не "подождать 1 блок", а использовать finality API или ждать нужного числа confirmations.

Relayer мониторинг. Автономный сервис, который следит за состоянием обеих сторон моста. Если сообщение отправлено но не доставлено за N минут — alert. Если locked balance расходится с totalSupply wrapped token — critical alert.

Сроки

Простой ERC-20 мост поверх существующего messaging layer (LayerZero OFT или Wormhole NTT) — 4-8 недель включая тестирование и аудит. Кастомный мост с собственной верификацией, multi-chain поддержкой, rate limiting, мониторингом — 12-24 недели. ZK-bridge с кастомными proof circuits — от 6 месяцев.

Аудит моста занимает больше времени, чем аудит обычного DeFi протокола: нужно тестировать cross-chain сценарии, finality edge cases, атаки через reorg. Минимум 3-4 недели для production-grade решения.