跨链桥开发者将继续在安全和去中心化之间权衡。
撰文:TOM BLACKSTONE
编译:0xAR
据链上数据工具 DefiLlama 的信息显示,截至 2 月 28 日,跨链桥上锁定的资金已近 100 亿美元。过去随着黑客的频繁光顾和资金的大量损失,跨链桥的安全问题成为一个急迫的问题。
分析工具 Token Terminal 曾发布一份惊人的数据,仅 2021 年到 2022 年的时间,跨链桥上就有超过 25 亿美元的加密资产被盗,超出第二名两倍多。
尽管开发者不断尝试改善桥接的安全性,但从今年初 Uniswap DAO 论坛上展开的辩论来看,跨链桥仍暴露出不少的安全漏洞。
去年 12 月,去中心化交易所 Uniswap 的自治组织 Uniswap DAO 提议将 Uniswap v3 部署到 BNB Chain 上并选择一个跨链桥协议部署资金桥接。
结果随着讨论不断深入,成员们发现没有一个跨链桥协议能够满足所有人对资金安全的要求。
顾名思义,跨链桥就是桥接两条区块链的协议。通过跨链桥,两条链上的数据和资金就能够从这一条链走到另一条链。最简单的例子,借助跨链桥,用户可以把 USDC 从以太坊发送到币安智能链。
表面上看,资金是过桥了。但实际上,各条区块链包括以太坊和币安智能链都是封闭的,各自的网络架构和数据库都不同。本质上讲,转移前的 USDC 和转移后的 USDC 并不是同一个。
此话怎讲?
要实现资金的跨链转移,跨链桥的操作是这样的:还以上文为例,用户转移前,桥在以太坊这头会把 USDC 先锁起来,然后在用户点击转移之后,接着在币安智能链上再造一份同样数量的 USDC 资金。
如果用户要把资金转移回来,币安智能链就会销毁造出来的「USDC」,并把以太坊这边的 USDC 解锁。所以从原理上看,跨链桥并没有真的把 USDC 从这条链移到那条链。但从应用角度讲,这已经能满足绝大多数用户转移资金的目的了。
跨链桥一头锁定资金,另一头铸造资金,一般由相关的验证者负责把关。但只要骗过任何一头的验证都可以窃取不菲的资金。比如,这头资金没有锁定,但在另一头却铸造了新的资金。或者在转移回来时,没有把原本的资金销毁,这一头资金却成功解锁。
也就是说,跨链桥被盗后不仅不丢失资金,反而凭空多出一份资金。比如币安链被盗。
又或者不骗验证者,而是直接偷验证者,因为用户锁定的钱就存在验证者管理的多签钱包中。Ronin 跨链桥便是一个实例。
Ronin 是区块链游戏 Axie Infinity 专门开发的侧链,方便玩家畅快游戏,但资金需要在以太坊上结算,所以跨链桥得以开发。
该跨链桥验证者为 9 个验证节点,验证交易时需要至少 5 个节点签名,即便单个节点被攻击,黑客仍然无法获得盗取资金。
结果,这 9 个验证节点中有 4 个验证节点的密钥掌握在 Axie Infinity 的开发者 Sky Mavis 手中,黑客在黑入 Sky Mavis 后,只攻击了剩余一个第三方节点就获得了验证权限,成功转移了钱包中价值 6 亿美元的加密资产。
甚至,在资金被盗多天后,Sky Mavis 都还不知情。还是在用户报告提不了现时,Sky Mavis 才大惊居然丢了 6 个亿。
依靠多签验证的跨链桥被一轮又一轮黑哭之后,终于有人开发出新的跨链桥项目。
Layer Zero 用两个服务器来代替桥两头的验证者。第一个服务器被称为「预言机」。用户如果锁定资金,预言机就会把锁定资金的区块信息发到另一条要转移资金的链上。
第二台服务器被称为「中继」。在用户确实锁定资金后,中继会向另一条链发送证明,也就是证明预言机说的没错,锁的资金确实是在那个区块里。
但是预言机和中继是相互独立的,不存在串通。这样一来,黑客便没有办法一步绕开验证盗取资金。
LayerZero 使用 Chainlink 作为默认的预言机,并为应用开发者提供了默认的中继器,如果开发者愿意,甚至可以自定义开发这两种服务器。
Celer 则用 POS 验证节点来验证加密资产是否锁定,直接采用权益证明网络来验证,只要三分之二的验证者认为用户锁定资金有效,验证即通过。
Celer 联合创始人 Mo Dong 表示,该协议还提供了与 optimistic Rollup 类似的机制。交易需要经过一个等待期,期间只要有一个验证者持有的信息跟与三分之二的节点不一致,这笔资金转移就不会通过。
那谁能当验证者呢?Mo 表示总共有 21 个验证者,这些验证者都是信誉很好的 PoS 验证者。是谁呢?是 Binance、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX 等。
Wormhole 则是直接加人,5 个不够就 19 个,靠这 19 个验证者来阻止欺诈交易,并且 19 个验证人中必须有 13 个人同意,资金转移才能进行。
Wormhole 认为其网络更加分散,并且比同行拥有更多有信誉的验证者,其中就包括 Staked、Figment、Chorus One、P2P 等优质 POS 验证者。
Debridge 则是 12 个验证人组成的 POS 网络,并且只有 8 个人同意,资金转移才是有效的。而且试图通过欺诈性交易的验证人将受到惩罚。
Debridge 的联合创始人 Alex Smirnov 表示,所有 deBridge 的验证者「都是专业的基础设施供应商,验证了许多其他协议和区块链」,「所有验证者都承担着声誉和财务风险。」
但实际上,这些协议在 Uniswap DAO 的大讨论中,全都受到安全性和去中心化的质疑。
LayerZero 将权力交给了应用开发者
LayerZero 受到批评称就是一个变相的 2 人多签验证,而且还把验证权放在了应用开发者的手中。有人发现只要黑客控制了应用开发者的计算机系统,LayerZero 上的预言机和中继甚至可以被规避。
另一些人则批评,中继能证明预言机的正确性,却无法证明中继的正确性,而且中继本身还是闭源的,更让公链项目方无法快速开发自己的中继器。
Celer 安全模式也存在瑕疵
在最初的投票中,Uniswap DAO 确实选择了 Celer 作为 Uniswap 的官方跨链桥。结果在测试时,Celer 安全模式受到严重质疑。
测试方发现,Celer 有一个可升级的 MessageBus 智能合约,由五个多签验证者控制,而且黑客只要获得其中三个签名就可以控制整个协议。
Celer 联合创始人 Mo 表示,该合约由 4 个机构控制分别是 InfStones、Binance Staking、OKX 和 Celer Network。他认为,需要保留 MessageBus 合约,从而用于修复未来可能出现的漏洞,以防万一。
但这一点,显然不能让人完全信服。
Wormhole 没有惩罚机制
Wormhole 则是受到批评称没有机制惩罚作恶的验证者,而且据称其交易量比当初表示的交易量要低。
Celer 创始人 Mo Dong 表示,Wormhole 超过 99% 的交易来自 Pythnet 一方,去掉后再看,过去 7 天里每天只有 719 笔交易信息。
而 DeBridge 则很少有针对它的批评,不是因为本身很强,而是因为这项协议压根没人正眼看,大多数参与讨论的人都认为 Celer、LayerZero 和 Wormhole 才是主流。
进入选择跨链桥的白热化阶段后,Debridge 团队开始主张采用多桥解决方案。
用户锁定资金常见操作是将资金打入到另跨链桥地址。如果将提款权交到验证者多签钱包手中,一旦不法分子获得多签钱包的控制权,就能在用户不知情的情况下提走代币。
本质上讲,这是变相的中心化,传达出的声音是让用户相信权威的人品,而不是去中心化的协议。
另一方面,采用权益证明的验证网络又是极其复杂的,完全有可能出现 bug 难以及时解决。而且,桥接在去中心化的网络中无法通过硬分叉修复,这也是 Celer 有所保留的原因。
所以跨链桥的开发者将继续面临权衡,是把升级交到可能被黑甚至作恶的权威手上,还是顶着无法修复漏洞的巨大压力,实现真正的但无法升级的去中心化。
目前,随着百亿美元的资金不断在跨链桥上积累,随着加密生态的发展,跨链桥如何在安全和去中心化上实现平衡,这一需求只会愈加迫切。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。