Ошибка в одной строке кода на GitHub и минус почти 2 млн долларов

Злоумышленники взломали механизм проверки состояния блокчейна и вывели около 1,7 миллиона долларов с мостов сети. Эксперт «Группы Астра» Эдуард Тихомиров, рассказал, что необходимо предпринять для предотвращения подобных инцидентов.

Мосты переносят активы между блокчейнами: средства блокируются в одной сети и выпускаются в другой по криптографическому доказательству, что перевод действительно состоялся. Атакующий научился подделывать такие доказательства. Фальшивые запросы на вывод принимались в сети Ethereum, хотя никаких реальных вкладов в Taiko им не соответствовало, пишет Securitylab.

Причиной стала грубая ошибка. Закрытый ключ, которым подписываются доказательства в системе Raiko (она подтверждает подлинность блоков Taiko), оказался выложен в публичный репозиторий на GitHub. Этот ключ должен храниться внутри защищённой аппаратной среды Intel SGX. Получив его, нападавший зарегистрировал собственное оборудование как доверенный проверяющий узел и начал подписывать поддельные доказательства, которые сеть принимала за настоящие.

Случай показал, насколько уязвимы мосты: в 2026 году на них пришлось свыше 340 миллионов долларов потерь в 14 атаках. Чтобы снизить риск, проектам советуют строго хранить секретные ключи — исключать их из публичных репозиториев через правила .gitignore и применять инструменты автоматического поиска утечек.

Эдуард Тихомиров, технический директор GitFlic (входит в «Группу Астра») подчеркнул, что инцидент с Taiko наглядно показывает, как одна небрежность при работе с репозиторием, случайно опубликованный закрытый ключ, приводит к многомиллионным потерям.

«Это не уникальный сценарий: утечка секретов через публичный Git-репозиторий остается одной из наиболее распространенных причин компрометации систем. Для предотвращения подобных инцидентов существуют ИБ-инструменты. Один из них — Gitleaks, SAST-инструмент с открытым исходным кодом, который автоматически обнаруживает пароли, токены и ключи до того, как они попадут в репозиторий. Он интегрируется через pre-receive хуки — как на GitHub, так и в GitFlic.

Использование таких инструментов напрямую соответствует принципам РБПО (безопасной разработки ПО): ГОСТ Р 56939 предписывает встраивать проверки безопасности непосредственно в процесс разработки, а не проводить их постфактум. Автоматический контроль секретов на уровне коммита — один из базовых элементов такого подхода, позволяющий выявлять уязвимости там, где их исправление обходится дешевле всего.

В GitFlic интеграция Gitleaks проходит через серверные Git-хуки поддерживается в self-hosted версии платформы. Помимо контроля секретов, платформа предоставляет инструментарий для полноценного Secure SDLC: защищенные ветки, обязательные проверки в CI/CD, управление доступами через RBAC и SSO, аудит-логи всех действий. Это позволяет выстроить управляемый процесс разработки, при котором безопасность встроена в каждый этап — от коммита до выпуска релиза», — говорит эксперт Эдуард Тихомиров.