Milionowy atak na most kryptowalutowy Adshares i ugoda z hakerem

Polska branża Web3 doświadczyła poważnego wstrząsu. Rodzimy projekt reklamowy Adshares stracił około 628 tysięcy dolarów (ponad 2,3 miliona złotych) po tym, jak nieznany sprawca złamał zabezpieczenia mostu technologicznego. Incydent, który rozegrał się w dniach 15–16 maja 2026 roku, zakończył się jednak nietypowo. Większość środków trafiła już z powrotem do poszkodowanych.

Mosty międzyłańcuchowe to kluczowe elementy infrastruktury kryptowalutowej, które jednocześnie generują największe ryzyko technologiczne. W tym przypadku przestępca wziął na cel mechanizm łączący autorski blockchain Adshares z siecią Ethereum. To tam powstają tak zwane tokeny opakowane (wADS), odzwierciedlające wartość bazowego aktywa w nowym środowisku.

Analitycy firmy DeFiLlama sklasyfikowali ten incydent jako „Bridge Verification Bypass”. W praktyce oznacza to całkowite obejście procedur weryfikacyjnych w smart kontrakcie. Napastnik zdołał wmówić systemowi, że po stronie sieci Adshares doszło do legalnych transferów i zdeponowania kapitału.

Żadne realne środki nie zostały jednak zablokowane. Mimo braku pokrycia, kontrakt bezbłędnie zrealizował instrukcję i wybił na Ethereum 1,2 miliona sztuk wADS.

Fałszerstwo odbyło się w trzech odrębnych transakcjach. Dwie pierwsze opiewały na niespełna 100 tysięcy tokenów, natomiast ostatnia, główna fala uderzeniowa wyniosła blisko milion jednostek. Haker natychmiast wrzucił nielegalnie wykreowane aktywa do pul płynności, zamieniając je na 148,5 ETH oraz 305 tysięcy cyfrowych dolarów USDC.

Reakcja deweloperów była natychmiastowa i nieszablonowa. Zamiast angażować od razu organy ścigania, zespół Adshares wysłał bezpośrednio na adres blockchainowy sprawcy propozycję ugody. Zaproponowano mu status „białego kapelusza”, czyli etycznego hakera, który wykrył lukę w kodzie.

Warunki zakładały zwrot 90% zrabowanej sumy w ciągu 72 godzin. W zamian programista mógł zatrzymać pozostałe 10% jako legalną nagrodę bug bounty, otrzymując jednocześnie gwarancję bezkarności i rezygnacji z kroków prawnych.

Firma bezpieczeństwa PeckShield potwierdziła, że przestępca przystał na te warunki. Na portfel projektu wpłynęło z powrotem 256 ETH o wartości około 540,7 tysiąca dolarów. Oddana kwota pokryła z grubsza 86% strat, co pozwoliło opanować kryzys płynnościowy.

Adshares to jeden z najstarszych i najbardziej rozpoznawalnych projektów kryptowalutowych z polskimi korzeniami. Platforma umożliwia bezpośrednie rozliczenia rynkowe między wydawcami internetowymi a reklamodawcami z pominięciem tradycyjnych, scentralizowanych brokerów. Całość opiera się na autorskim łańcuchu bloków, a token wADS ma jedynie ułatwiać handel na zdecentralizowanych giełdach Ethereum.

Zdarzenie to uwypukla szerszy problem sektora zdecentralizowanych finansów. Projekty mogą latami rozwijać udany model biznesowy, podczas gdy ich rzadko aktualizowana infrastruktura sieciowa pozostaje podatna na błędy. Narzędzia łączące niezależne sieci stanowią obecnie główny cel cyberataków na świecie. Według najnowszych raportów branżowych, tylko od początku 2026 roku straty wynikające bezpośrednio z awarii i awarii mostów kryptowalutowych przekroczyły już poziom 328 milionów dolarów. Na ten moment twórcy nie wydali jeszcze pełnego raportu technicznego wyjaśniającego, czy i kiedy most wznowi bezpieczne działanie.