Мост, который никогда не мостил

Февраль 2025. Холдер из Перми хочет переместить 48 000 USDC из Arbitrum в Solana. Гуглит «USDC bridge arbitrum solana» и кликает первый рекламный результат — universalbridge.io. Интерфейс выглядит как полированный bridge-агрегатор. Он подключает MetaMask, одобряет расход USDC, отправляет bridge. Сайт показывает «Мостирование в процессе... обычное время 5–15 минут». USDC уходит с Arbitrum-кошелька. На Solana ничего не приходит.

Как фейковые мосты конвертируют реальные активы в потери

Фейковый мост собирает активы пользователя на исходной цепи (реальные транзакции, реальные одобрения), затем либо (1) удерживает средства и пережидает жалобы пользователя, либо (2) маршрутизирует малую долю на destination-кошелёк пользователя для симуляции частичного успеха перед исчезновением. Никакого реального моста нет — только пара кошельков, контролируемых оператором.

Пять правил для cross-chain мостов

  • Используйте только проаудированные, многолетние мосты. Для USDC: Circle CCTP (Cross-Chain Transfer Protocol). Для общих активов: Wormhole, Stargate, Across, deBridge — все с годами работы и миллиардами накопленного объёма.
  • Ищите мосты через официальные страницы цепей, не Google. Официальный гайд Arbitrum перечисляет поддерживаемые third-party мосты. Документация Solana делает то же.
  • Сначала переведите тестовую сумму. 50 USD туда-обратно. Если работает в обе стороны чисто — мост реальный. Если что-то не так — потеряли 50 USD.
  • URL верифицируется символ за символом. stargate.finance, не stargate-bridge.io. across.to, не across-bridge.com.
  • Транзакции моста видны в обоих эксплорерах. Реальный мост производит lock-транзакцию на исходной цепи и mint/release-транзакцию на destination, обе видны в течение заявленного протоколом срока. Если destination-tx не находите — мост не произошёл.

Если source-tx подтвердилась, но destination не приходит

Подождите заявленный максимум (обычно 30–60 минут). Проверьте официальный Discord протокола — у реальных мостов есть incident-каналы. Если сам URL моста перестал отвечать после заявленного окна — операция была мошенничеством. Заявление в МВД, документация хешей, репорт URL в anti-phishing базы.

Жёсткое правило

Мостинг — действие максимального DeFi-риска, потому что пользователь должен доверять и source-контракту, и destination-механизму. Используйте только протоколы, где история аудитов, команда и годы работы вместе делают риск понятным.