Міст, що ніколи не мостив

Лютий 2025. Холдер з Харкова хоче перемістити 48 000 USDC з Arbitrum в Solana. Гуглить «USDC bridge arbitrum solana» і клацає перший рекламний результат — universalbridge.io. Інтерфейс виглядає як полірований bridge-агрегатор. Він підключає MetaMask, схвалює витрату USDC, відправляє bridge. Сайт показує «Мостування в процесі... звичайний час 5–15 хвилин». USDC іде з Arbitrum-гаманця. На Solana нічого не приходить.

Як фейкові мости конвертують реальні активи в втрати

Фейковий міст збирає активи користувача на вихідному ланцюзі (реальні транзакції, реальні схвалення), потім або (1) утримує кошти і пережидає скарги користувача, або (2) маршрутизує малу частку на destination-гаманець користувача для симуляції часткового успіху перед зникненням. Жодного реального мосту немає — лише пара гаманців, контрольованих оператором.

П'ять правил для cross-chain мостів

  • Використовуйте лише проаудитовані, багаторічні мости. Для USDC: Circle CCTP (Cross-Chain Transfer Protocol). Для загальних активів: Wormhole, Stargate, Across, deBridge — всі з роками роботи і мільярдами накопиченого обсягу.
  • Шукайте мости через офіційні сторінки ланцюгів, не Google. Офіційний гайд Arbitrum перелічує підтримувані third-party мости. Документація Solana робить те саме.
  • Спочатку переведіть тестову суму. 50 USD туди-назад. Якщо працює в обидва боки чисто — міст реальний. Якщо щось не так — втратили 50 USD.
  • URL верифікується символ за символом. stargate.finance, не stargate-bridge.io. across.to, не across-bridge.com.
  • Транзакції мосту видно в обох експлорерах. Реальний міст виробляє lock-транзакцію на вихідному ланцюзі і mint/release-транзакцію на destination, обидві видно протягом заявленого протоколом терміну.

Якщо source-tx підтвердилася, але destination не приходить

Зачекайте заявлений максимум (зазвичай 30–60 хвилин). Перевірте офіційний Discord протоколу — у реальних мостів є incident-канали. Якщо сам URL мосту перестав відповідати після заявленого вікна — операція була шахрайством. Заява до Кіберполіції, документація хешів, репорт URL в anti-phishing бази.

Жорстке правило

Мостинг — дія максимального DeFi-ризику, бо користувач повинен довіряти і source-контракту, і destination-механізму. Використовуйте лише протоколи, де історія аудитів, команда і роки роботи разом роблять ризик зрозумілим.