Міжланцюговий міст MAP Protocol призупинено, зловмисник незаконно карбував 1000 трильйонів MAPO

Онлайнова безпекова структура Blockaid 20 травня зафіксувала атаку на міжланцюговий міст Butter Bridge V3.1, який належить MAP Protocol, в мережах Ethereum і BSC. Зловмисник скористався дефектом у дизайні смартконтракту, спонукаючи контракт мосту напряму незаконно карбувати приблизно 1,000 трильйона MAPO на адресу, створену щойно. Це відповідає 4,80 млн-кратному перевищенню від законного обсягу обігу — близько 208 млн MAPO.

Механізм атаки: дефект дизайну смартконтракту в процесі повторної валідації повідомлень

Blockaid підтвердив, що першопричина цієї атаки — дефект у смартконтракті в процесі повторної валідації повідомлень у Butter Bridge V3.1. Це проблема на рівні реалізації контракту, а не збій у базовій архітектурі протоколу MAP Protocol. Зловмисник через підведення до виконання контрактом хибного маршруту валідації змусив контракт мосту обійти законну перевірку міжланцюгових відповідних доказів і напряму карбувати токени в мережі Ethereum на новостворену адресу EOA.

Міжланцюгові мости технічно мають одночасно верифікувати повідомлення з двох незалежних блокчейнів: у кожної мережі — власні механізми консенсусу, моделі безпеки та правила остаточного підтвердження транзакцій. MAP Protocol використовує peer-to-peer модель і light-client верифікацію; теоретично це має меншу площу атаки, ніж варіанти, що покладаються на верифікаторів довіреної третьої сторони, але в цьому випадку дефект у логіці повторної спроби дав придатну точку входу. Butter Network підтвердив, що виправлення, аудит і повторне розгортання вже тривають.

Масштаб збитків і реакція ринку MAPO: підтверджені дані

Зловмисник реалізував виведені кошти: 52,21 ETH (близько 180 тис. доларів) — з пулу ліквідності Uniswap V4 ETH/MAPO

Зловмисник має в залишку позицію: близько 9,999.99 трильйона MAPO — досі в гаманці атакувальника, що створює постійний ризик для всіх пулів ліквідності, пов’язаних із MAPO, а також для лістингу на CEX

Вплив ціни MAPO: після продажів денне падіння приблизно на 30%

Загальний обсяг незаконного карбування: близько 1,000 трильйона токенів, що в 4,80 млн разів більше за законний обсяг обігу (208 млн токенів)

Накопичені втрати від атак на міжланцюгові мости у 2026 році (станом на середину травня): понад 3,286 млрд доларів

Заходи реагування, підтверджені MAP Protocol і Butter Network

Офіційна заява MAP Protocol підтверджує такі вже виконані заходи стримування: міст між MAPO ERC-20 і MAPO в основній мережі призупинено; користувачам попереджають не здійснювати зараз торгівлю MAPO ERC-20 на Uniswap — під час дії пом’якшувальних заходів пули ліквідності все ще несуть ризик; команда координує розслідування з зовнішніми безпековими партнерами.

Офіційна заява Butter Network підтверджує: ButterSwap призупинив усю операційну діяльність; тривають виправлення, аудит і повторне розгортання; очікувані транзакції оброблятимуться після відновлення безпеки; кошти користувачів не зазнали прямих втрат, а всі постраждалі підтвердження транзакцій будуть повністю оброблені після відновлення системи.

Поширені запитання

Ця атака — це дефект базової архітектури протоколу MAP Protocol?

Blockaid підтвердив, що ця вразливість — проблема зі смартконтрактом Butter Bridge V3.1: конкретно вона виникла в процесі повторної валідації повідомлень, тобто це дефект на рівні реалізації смартконтракту, а не фундаментальний збій peer-to-peer архітектури протоколу MAP Protocol чи моделі light-client верифікації. Наразі Butter Network проводить виправлення та повторний аудит цього компонента.

Чому залишкова позиція атакувальника — близько 9,999 трильйона MAPO — створює постійний ризик?

У гаманці атакувальника все ще зберігаються близько 9,999.99 трильйона MAPO, карбованих незаконно, що в тисячі разів більше за законний обсяг обігу (208 млн токенів). Якщо зловмисник вирішить задіяти ці токени в будь-яких пулів ліквідності MAPO або подасть заявку на лістинг на централізованій біржі, це суттєво вплине на ціну MAPO та ліквідність. У повідомленні Blockaid прямо вказано, що ця позиція «створює постійний ризик для будь-якого пулу MAPO або лістингу на CEX».

Чому міжланцюгові мости й надалі є високоризиковою ціллю для атак у DeFi?

Міжланцюгові мости за технічною архітектурою мають обробляти повідомлення одразу з двох незалежних блокчейнів, а кожна мережа має власні механізми консенсусу, моделі безпеки та правила остаточного підтвердження. Контракт мосту зазвичай блокує великі обсяги активів на одній із мереж і карбує відповідні токени на іншій. Якщо в логіці мосту є дефект, атакувальник може викрасти заблоковані активи або карбувати токени без грошового підкріплення. Історичні приклади: у 2022 році Nomad Bridge викрали понад 186 млн доларів (помилка ідентифікації/валідації), атаки на Ronin Bridge та Wormhole; станом на 2026 рік накопичені втрати від таких атак уже перевищили 3,286 млрд доларів.