Syscoin приостановил свой кросс-чейн-мост после того, как злоумышленник эмитировал около 5 миллиардов неавторизованных токенов SYS. Уязвимость, выявленная на этой неделе, возникла из-за проблемы с валидацией в релейном пути моста — системы, проверяющей доказательства транзакций между блокчейнами. Последствия: около 4 миллиардов и 1 миллиарда зараженных токенов теперь находятся на отдельных кошельках, и Syscoin пытается не допустить их появления на биржах.
Как сработала уязвимость
Мост принял поддельное доказательство транзакции, что запустило неавторизованную эмиссию токенов в цепи UTXO Syscoin. По сути, злоумышленник обманул мост, заставив его поверить, что произошел корректный кросс-чейн-перевод — после чего мост эмитировал новые токены на стороне получения. Это классическая уязвимость в релейном пути: верификатор не обнаружил поддельное доказательство.
Syscoin уже внедрил исправление, но мост остается приостановленным до координации с торговыми платформами. Цель — не допустить попадания зараженных токенов SYS на открытые рынки и их продажи неосведомленным покупателям.
Куда отправились токены
Данные блокчейна показывают, что злоумышленник сначала отправил все эмитированные токены на один адрес, а затем разделил их на две части: около 4 миллиардов SYS и 1 миллиарда SYS, каждая на отдельном кошельке. Это стандартный прием отмывания — разделение награбленного, чтобы затруднить отслеживание. Syscoin пока не сообщил, удалось ли им установить реальную личность злоумышленника или привлечь правоохранительные органы.
Реакция рынка
Инвесторы не стали ждать ответов. SYS упал более чем на 7% за 24 часа до примерно $0,0016. Это не самый удачный момент — общий крипторынок за тот же период вырос на 2%, поэтому Syscoin двигался в противоположном направлении. К моменту публикации токен не восстановился.
Итоги по безопасности в мае
Этот случай не единичный. Согласно недавнему отчету компании по безопасности PeckShield, в мае 2026 года произошло 40 крупных инцидентов безопасности в блокчейне, из которых 8 были направлены на мосты и кросс-чейн-протоколы. Мосты остаются уязвимым местом — они работают с правилами консенсуса разных блокчейнов, и одна ошибка в доказательстве может опустошить казну проекта или, как в данном случае, эмитировать токены из ничего.
Syscoin заявил, что мост останется отключенным до полной проверки исправления внешними аудиторами. Точного срока не называется. Биржам теперь предстоит решить, что делать с зараженными балансами — заморозить их или надеяться, что исправление появится до перемещения этих токенов SYS.
