TAC опублікувала безпековий пост-інцидентний аналіз: 2,86 млн збитків на суму 90% уже відшкодовано, Фонд додатково поповнив залишок

TAC 21 травня опублікував офіційний постмортем-звіт щодо безпекового інциденту на мосту TON–TAC, що стався 11 травня. Корінна причина в тому, що в програмному забезпеченні сортувальника бракувало ключової перевірки; загальні збитки становлять приблизно 2,854 мільйона доларів США (включно з USDT, BLUM і tsTON). Приблизно 90% викрадених активів уже повернуто на мультипідписні адреси під контролем TAC, а TAC Foundation покриє решту 288 тис. доларів США.

Причина інциденту та деталі атакувальної техніки

Згідно з офіційно підтвердженим TAC постмортемом, ключова вразливість полягала в тому, що сортувальник не перевіряв, чи збігається хеш коду Jetton-гаманця відправника вхідного мостового повідомлення зі стандартним кодом гаманця Jetton. Це означає, що будь-який TON-контракт, здатний згенерувати коректно відформатоване мостове повідомлення, незалежно від його фактичного коду або емісійника, вважався легальним гаманцем Jetton.

Атака сталася приблизно 11 травня 2026 року о 02:20 UTC. Зловмисник розгорнув на TON підроблений гаманець Jetton (візуально імітував USDT-гаманець, але без необхідної підтримки реальної ліквідності), надіслав мостове повідомлення на контракт TAC Proxy, сортувальники прийняли підроблені токени й карбували на TAC еквівалентні активи. Далі атакувальник перекинув ці карбовані активи назад через міст на TON, вивільнивши активи, які справді були заблоковані на TON-мості. Після цього кошти було перенесено через LayerZero, THORChain та іншу інфраструктуру на кілька мереж, зокрема Ethereum, Bitcoin, ZCash, BSC і Solana, а потім — через приватні протоколи для подальшого змішування маршрутів. Hypernative, її система миттєвого безпекового моніторингу, виявила невідповідність між балансами TON і балансами TAC, після чого команда TAC негайно зупинила сортувальник і зв’язалася з правоохоронними органами, SEAL911 та безпековими аудиторами.

Підтверджені дані щодо повернення активів

Згідно з офіційним звітом TAC, загальний обсяг збитків за протоколом становить приблизно 2,854 мільйона доларів США (станом на 12 травня 2026 року 22:00 UTC). З них USDT — близько 2,434 мільйона доларів США, BLUM — близько 403 тис. доларів США, tsTON — близько 18 тис. доларів США.

14 травня близько 90% викрадених активів повернули на мультипідписні адреси під контролем TAC. Фактично відвойовано 2,2907 мільйона доларів США, а ефективність повернення — близько 80,2% (різниця відображає ринкові коливання, витрати та втрати на прослизанні активів під час їхнього переведення між кількома мережами). Решта близько 288 тис. доларів США не підлягає поверненню, включно з 13 ETH, переказаними в Tornado Cash, частиною ZEC і SOL, які вже були переведені через протокол приватності Umbra.

Дорожня карта відновлення та підтверджені подальші кроки

Згідно з офіційним повідомленням TAC, для відновлення кросчейн-моста потрібно виконати дві передумови: (1) відремонтоване програмне забезпечення сортувальника має пройти незалежну перевірку ключовими аудиторами та експертами TON-екосистеми; (2) використати повернуті активи та токенові резерви TAC Foundation для заповнення дефіциту коштів і повністю відновити перехідну ліквідність.

TAC підтверджує, що решту дефіциту коштів покриє скарбниця фонду; користувачі та протоколи не зазнають жодних фінансових збитків. Після відновлення користувачам не потрібно робити жодних дій. Оскільки необхідна координація з багатьма сторонами, TAC зазначає, що наразі не може надати точного таймлайну відновлення; подальші оновлення публікуватимуться щотижня через офіційні акаунти X і Telegram. TAC також попереджає: будь-які небажані приватні повідомлення з оголошеннями про «відновлення» або «підтримку» є шахрайством.

Питання та відповіді

Яка корінна причина атаки на кросчейн-мосту TAC?

Згідно з офіційним постмортемом TAC, корінна причина — відсутність у програмному забезпеченні сортувальника перевірки хешу коду гаманця Jetton відправника вхідного мостового повідомлення. Це дозволило атакувальнику розгортати підроблені гаманці Jetton без необхідної підтримки реальної ліквідності, щоб ініціювати карбування токенів на TAC і, як наслідок, витягнути активи, які насправді були заблоковані на TON-мості.

Чи зазнають користувачі фінансових збитків через цей інцидент?

Згідно з офіційним повідомленням TAC, залишений приблизно 10% дефіциту коштів покриє скарбниця TAC Foundation, щоб гарантувати, що користувачі та протоколи не зазнають жодних фінансових збитків. Після відновлення користувачам не потрібно робити жодних дій.

Коли кросчейн-мост відновить роботу?

Згідно з офіційними поясненнями TAC, відновлення потребує виконання двох кроків: незалежного аудиту відремонтованого сортувальника та заповнення дефіциту коштів. Через зовнішні залежності TAC наразі не може надати точного таймлайну; подальші оновлення прогресу публікуватимуться щотижня через офіційні канали.