原文:TOM BLACKSTONE
编译:0xAR
据链上数据工具DefiLlama的信息显示,截至2月28日,跨链桥上锁定的资金已近100亿美元。过去随着黑客的频繁光顾和资金的大量损失,跨链桥的安全问题成为一个急迫的问题。
分析工具Token Terminal曾发布一份惊人的数据,仅2021年到2022年的时间,跨链桥上就有超过25亿美元的加密资产被盗,超出第二名两倍多。
尽管开发者不断尝试改善桥接的安全性,但从今年初Uniswap DAO论坛上展开的辩论来看,跨链桥仍暴露出不少的安全漏洞。
去年12月,去中心化交易所Uniswap的自治组织Uniswap DAO提议将Uniswap v3部署到BNB Chain上并选择一个跨链桥协议部署资金桥接。
结果随着讨论不断深入,成员们发现没有一个跨链桥协议能够满足所有人对资金安全的要求。
什么是跨链桥?
顾名思义,跨链桥就是桥接两条区块链的协议。通过跨链桥,两条链上的数据和资金就能够从这一条链走到另一条链。最简单的例子,借助跨链桥,用户可以把USDC从以太坊发送到币安智能链。
表面上看,资金是过桥了。但实际上,各条区块链包括以太坊和币安智能链都是封闭的,各自的网络架构和数据库都不同。本质上讲,转移前的USDC和转移后的USDC并不是同一个。
此话怎讲?
要实现资金的跨链转移,跨链桥的操作是这样的:还以上文为例,用户转移前,桥在以太坊这头会把USDC先锁起来,然后在用户点击转移之后,接着在币安智能链上再造一份同样数量的USDC资金。
如果用户要把资金转移回来,币安智能链就会销毁造出来的“USDC”,并把以太坊这边的USDC解锁。所以从原理上看,跨链桥并没有真的把USDC从这条链移到那条链。但从应用角度讲,这已经能满足绝大多数用户转移资金的目的了。
但桥也会出问题
跨链桥一头锁定资金,另一头铸造资金,一般由相关的验证者负责把关。但只要骗过任何一头的验证都可以窃取不菲的资金。比如,这头资金没有锁定,但在另一头却铸造了新的资金。或者在转移回来时,没有把原本的资金销毁,这一头资金却成功解锁。
也就是说,跨链桥被盗后不仅不丢失资金,反而凭空多出一份资金。比如币安链被盗。
又或者不骗验证者,而是直接偷验证者,因为用户锁定的钱就存在验证者管理的多签钱包中。Ronin跨链桥便是一个实例。
Ronin是区块链游戏Axie Infinity专门开发的侧链,方便玩家畅快游戏,但资金需要在以太坊上结算,所以跨链桥得以开发。
该跨链桥验证者为9个验证节点,验证交易时需要至少5个节点签名,即便单个节点被攻击,黑客仍然无法获得盗取资金。
结果,这9个验证节点中有4个验证节点的密钥掌握在Axie Infinity的开发者Sky Mavis手中,黑客在黑入Sky Mavis后,只攻击了剩余一个第三方节点就获得了验证权限,成功转移了钱包中价值6亿美元的加密资产。
甚至,在资金被盗多天后,Sky Mavis都还不知情。还是在用户报告提不了现时,Sky Mavis才大惊居然丢了6个亿。
新的跨链桥协议
依靠多签验证的跨链桥被一轮又一轮黑哭之后,终于有人开发出新的跨链桥项目。
Layer Zero
Layer Zero用两个服务器来代替桥两头的验证者。第一个服务器被称为 "预言机"。用户如果锁定资金,预言机就会把锁定资金的区块信息发到另一条要转移资金的链上。
第二台服务器被称为 "中继"。在用户确实锁定资金后,中继会向另一条链发送证明,也就是证明预言机说的没错,锁的资金确实是在那个区块里。
但是预言机和中继是相互独立的,不存在串通。这样一来,黑客便没有办法一步绕开验证盗取资金。
LayerZero使用Chainlink作为默认的预言机,并为应用开发者提供了默认的中继器,如果开发者愿意,甚至可以自定义开发这两种服务器。
Celer
Celer则用POS验证节点来验证加密资产是否锁定,直接采用权益证明网络来验证,只要三分之二的验证者认为用户锁定资金有效,验证即通过。
Celer联合创始人Mo Dong表示,该协议还提供了与optimistic Rollup类似的机制。交易需要经过一个等待期,期间只要有一个验证者持有的信息跟与三分之二的节点不一致,这笔资金转移就不会通过。
那谁能当验证者呢?Mo表示总共有21个验证者,这些验证者都是信誉很好的PoS验证者。是谁呢?是Binance、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX等。
Wormhole
Wormhole则是直接加人,5个不够就19个,靠这19个验证者来阻止欺诈交易,并且19个验证人中必须有13个人同意,资金转移才能进行。
Wormhole认为其网络更加分散,并且比同行拥有更多有信誉的验证者,其中就包括Staked、Figment、Chorus One、P2P等优质POS验证者。
Debridge
Debridge则是12个验证人组成的POS网络,并且只有8个人同意,资金转移才是有效的。而且试图通过欺诈性交易的验证人将受到惩罚。
Debridge的联合创始人Alex Smirnov表示,所有deBridge的验证者 “都是专业的基础设施供应商,验证了许多其他协议和区块链”,“所有验证者都承担着声誉和财务风险。”
安全和去中心化的质疑
但实际上,这些协议在Uniswap DAO的大讨论中,全都受到安全性和去中心化的质疑。
LayerZero将权力交给了应用开发者
LayerZero受到批评称就是一个变相的2人多签验证,而且还把验证权放在了应用开发者的手中。有人发现只要黑客控制了应用开发者的计算机系统,LayerZero上的预言机和中继甚至可以被规避。
另一些人则批评,中继能证明预言机的正确性,却无法证明中继的正确性,而且中继本身还是闭源的,更让公链项目方无法快速开发自己的中继器。
Celer安全模式也存在瑕疵
在最初的投票中,Uniswap DAO确实选择了Celer作为Uniswap的官方跨链桥。结果在测试时,Celer安全模式受到严重质疑。
测试方发现,Celer有一个可升级的MessageBus 智能合约,由五个多签验证者控制,而且黑客只要获得其中三个签名就可以控制整个协议。
Celer联合创始人Mo表示,该合约由4个机构控制分别是InfStones、Binance Staking、OKX和Celer Network。他认为,需要保留MessageBus合约,从而用于修复未来可能出现的漏洞,以防万一。
但这一点,显然不能让人完全信服。
Wormhole没有惩罚机制
Wormhole则是受到批评称没有机制惩罚作恶的验证者,而且据称其交易量比当初表示的交易量要低。
Celer创始人Mo Dong表示,Wormhole超过99%的交易来自Pythnet一方,去掉后再看,过去7天里每天只有719笔交易信息。
而DeBridge则很少有针对它的批评,不是因为本身很强,而是因为这项协议压根没人正眼看,大多数参与讨论的人都认为Celer、LayerZero和Wormhole才是主流。
进入选择跨链桥的白热化阶段后,Debridge团队开始主张采用多桥解决方案。
跨链桥到底能不能保证安全?
用户锁定资金常见操作是将资金打入到另跨链桥地址。如果将提款权交到验证者多签钱包手中,一旦不法分子获得多签钱包的控制权,就能在用户不知情的情况下提走代币。
本质上讲,这是变相的中心化,传达出的声音是让用户相信权威的人品,而不是去中心化的协议。
另一方面,采用权益证明的验证网络又是极其复杂的,完全有可能出现bug难以及时解决。而且,桥接在去中心化的网络中无法通过硬分叉修复,这也是Celer有所保留的原因。
所以跨链桥的开发者将继续面临权衡,是把升级交到可能被黑甚至作恶的权威手上,还是顶着无法修复漏洞的巨大压力,实现真正的但无法升级的去中心化。
目前,随着百亿美元的资金不断在跨链桥上积累,随着加密生态的发展,跨链桥如何在安全和去中心化上实现平衡,这一需求只会愈加迫切。