Cointime

扫码下载App
iOS & Android

以Uniswap提案部署BNB Chain为例,探讨当前跨链桥的发展与隐忧

原文:TOM BLACKSTONE

编译:0xAR

据链上数据工具DefiLlama的信息显示,截至2月28日,跨链桥上锁定的资金已近100亿美元。过去随着黑客的频繁光顾和资金的大量损失,跨链桥的安全问题成为一个急迫的问题。

分析工具Token Terminal曾发布一份惊人的数据,仅2021年到2022年的时间,跨链桥上就有超过25亿美元的加密资产被盗,超出第二名两倍多。

尽管开发者不断尝试改善桥接的安全性,但从今年初Uniswap DAO论坛上展开的辩论来看,跨链桥仍暴露出不少的安全漏洞。

去年12月,去中心化交易所Uniswap的自治组织Uniswap DAO提议将Uniswap v3部署到BNB Chain上并选择一个跨链桥协议部署资金桥接。

结果随着讨论不断深入,成员们发现没有一个跨链桥协议能够满足所有人对资金安全的要求。

什么是跨链桥?

顾名思义,跨链桥就是桥接两条区块链的协议。通过跨链桥,两条链上的数据和资金就能够从这一条链走到另一条链。最简单的例子,借助跨链桥,用户可以把USDC从以太坊发送到币安智能链。

表面上看,资金是过桥了。但实际上,各条区块链包括以太坊和币安智能链都是封闭的,各自的网络架构和数据库都不同。本质上讲,转移前的USDC和转移后的USDC并不是同一个。

此话怎讲?

要实现资金的跨链转移,跨链桥的操作是这样的:还以上文为例,用户转移前,桥在以太坊这头会把USDC先锁起来,然后在用户点击转移之后,接着在币安智能链上再造一份同样数量的USDC资金。

如果用户要把资金转移回来,币安智能链就会销毁造出来的“USDC”,并把以太坊这边的USDC解锁。所以从原理上看,跨链桥并没有真的把USDC从这条链移到那条链。但从应用角度讲,这已经能满足绝大多数用户转移资金的目的了。

但桥也会出问题

跨链桥一头锁定资金,另一头铸造资金,一般由相关的验证者负责把关。但只要骗过任何一头的验证都可以窃取不菲的资金。比如,这头资金没有锁定,但在另一头却铸造了新的资金。或者在转移回来时,没有把原本的资金销毁,这一头资金却成功解锁。

也就是说,跨链桥被盗后不仅不丢失资金,反而凭空多出一份资金。比如币安链被盗。

又或者不骗验证者,而是直接偷验证者,因为用户锁定的钱就存在验证者管理的多签钱包中。Ronin跨链桥便是一个实例。

Ronin是区块链游戏Axie Infinity专门开发的侧链,方便玩家畅快游戏,但资金需要在以太坊上结算,所以跨链桥得以开发。

该跨链桥验证者为9个验证节点,验证交易时需要至少5个节点签名,即便单个节点被攻击,黑客仍然无法获得盗取资金。

结果,这9个验证节点中有4个验证节点的密钥掌握在Axie Infinity的开发者Sky Mavis手中,黑客在黑入Sky Mavis后,只攻击了剩余一个第三方节点就获得了验证权限,成功转移了钱包中价值6亿美元的加密资产。

甚至,在资金被盗多天后,Sky Mavis都还不知情。还是在用户报告提不了现时,Sky Mavis才大惊居然丢了6个亿。

新的跨链桥协议

依靠多签验证的跨链桥被一轮又一轮黑哭之后,终于有人开发出新的跨链桥项目。

Layer Zero

Layer Zero用两个服务器来代替桥两头的验证者。第一个服务器被称为 "预言机"。用户如果锁定资金,预言机就会把锁定资金的区块信息发到另一条要转移资金的链上。

第二台服务器被称为 "中继"。在用户确实锁定资金后,中继会向另一条链发送证明,也就是证明预言机说的没错,锁的资金确实是在那个区块里。

但是预言机和中继是相互独立的,不存在串通。这样一来,黑客便没有办法一步绕开验证盗取资金。

LayerZero使用Chainlink作为默认的预言机,并为应用开发者提供了默认的中继器,如果开发者愿意,甚至可以自定义开发这两种服务器。

Celer

Celer则用POS验证节点来验证加密资产是否锁定,直接采用权益证明网络来验证,只要三分之二的验证者认为用户锁定资金有效,验证即通过。

Celer联合创始人Mo Dong表示,该协议还提供了与optimistic Rollup类似的机制。交易需要经过一个等待期,期间只要有一个验证者持有的信息跟与三分之二的节点不一致,这笔资金转移就不会通过。

那谁能当验证者呢?Mo表示总共有21个验证者,这些验证者都是信誉很好的PoS验证者。是谁呢?是Binance、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX等。

Wormhole

Wormhole则是直接加人,5个不够就19个,靠这19个验证者来阻止欺诈交易,并且19个验证人中必须有13个人同意,资金转移才能进行。

Wormhole认为其网络更加分散,并且比同行拥有更多有信誉的验证者,其中就包括Staked、Figment、Chorus One、P2P等优质POS验证者。

Debridge

Debridge则是12个验证人组成的POS网络,并且只有8个人同意,资金转移才是有效的。而且试图通过欺诈性交易的验证人将受到惩罚。

Debridge的联合创始人Alex Smirnov表示,所有deBridge的验证者 “都是专业的基础设施供应商,验证了许多其他协议和区块链”,“所有验证者都承担着声誉和财务风险。”

安全和去中心化的质疑

但实际上,这些协议在Uniswap DAO的大讨论中,全都受到安全性和去中心化的质疑。

LayerZero将权力交给了应用开发者

LayerZero受到批评称就是一个变相的2人多签验证,而且还把验证权放在了应用开发者的手中。有人发现只要黑客控制了应用开发者的计算机系统,LayerZero上的预言机和中继甚至可以被规避。

另一些人则批评,中继能证明预言机的正确性,却无法证明中继的正确性,而且中继本身还是闭源的,更让公链项目方无法快速开发自己的中继器。

Celer安全模式也存在瑕疵

在最初的投票中,Uniswap DAO确实选择了Celer作为Uniswap的官方跨链桥。结果在测试时,Celer安全模式受到严重质疑。

测试方发现,Celer有一个可升级的MessageBus 智能合约,由五个多签验证者控制,而且黑客只要获得其中三个签名就可以控制整个协议。

Celer联合创始人Mo表示,该合约由4个机构控制分别是InfStones、Binance Staking、OKX和Celer Network。他认为,需要保留MessageBus合约,从而用于修复未来可能出现的漏洞,以防万一。

但这一点,显然不能让人完全信服。

Wormhole没有惩罚机制

Wormhole则是受到批评称没有机制惩罚作恶的验证者,而且据称其交易量比当初表示的交易量要低。

Celer创始人Mo Dong表示,Wormhole超过99%的交易来自Pythnet一方,去掉后再看,过去7天里每天只有719笔交易信息。

而DeBridge则很少有针对它的批评,不是因为本身很强,而是因为这项协议压根没人正眼看,大多数参与讨论的人都认为Celer、LayerZero和Wormhole才是主流。

进入选择跨链桥的白热化阶段后,Debridge团队开始主张采用多桥解决方案。

跨链桥到底能不能保证安全?

用户锁定资金常见操作是将资金打入到另跨链桥地址。如果将提款权交到验证者多签钱包手中,一旦不法分子获得多签钱包的控制权,就能在用户不知情的情况下提走代币。

本质上讲,这是变相的中心化,传达出的声音是让用户相信权威的人品,而不是去中心化的协议。

另一方面,采用权益证明的验证网络又是极其复杂的,完全有可能出现bug难以及时解决。而且,桥接在去中心化的网络中无法通过硬分叉修复,这也是Celer有所保留的原因。

所以跨链桥的开发者将继续面临权衡,是把升级交到可能被黑甚至作恶的权威手上,还是顶着无法修复漏洞的巨大压力,实现真正的但无法升级的去中心化。

目前,随着百亿美元的资金不断在跨链桥上积累,随着加密生态的发展,跨链桥如何在安全和去中心化上实现平衡,这一需求只会愈加迫切。

评论

所有评论

推荐阅读

  • IPO在即,灰度创始人Barry Silbert回归出任董事会主席

    Grayscale Investments 在提交保密 IPO 申请后,宣布四项高管任命并迎回创始人 Barry Silbert 担任董事会主席。新任命的高管包括:首席运营官 Diana Zhang、首席营销官拉蒙娜·波士顿 Ramona Boston、首席传讯官 Andrea Williams、首席人力资源官 Maxwell Rosenthal。四位高管都将向灰度首席执行官 Peter Mintzberg 汇报,他们均来自传统金融巨头,包括桥水基金、阿波罗全球管理、高盛和城堡投资。 Barry Silbert 于 2013 年创立灰度,于 2023 年底辞去灰度董事长一职,此次将接替 Mark Shifke 担任董事会主席,Shifke 将继续留任董事会,目前董事会成员已增至五人。公司表示正在考虑增加独立董事。 Barry Silbert 表示:「我很荣幸能够在公司乃至更广泛的数字资产生态系统的关键时刻重新加入灰度董事会。我始终坚信公司的长期定位以及引领公司前进的领导团队。」

  • SharpLink Gaming增持18,680枚以太坊,总持有498,884枚

    据链上分析师 Onchain Lens 监测,SharpLink Gaming(股票代码:SBET)今日再次增持18,680枚以太坊,价值约6,663万美元。此次增持后,该公司以太坊储备总量达到498,884枚,总价值约18亿美元。

  • Bullish向美国证交会提交IPO申请,拟募资6.29亿美元

    数字资产交易所Bullish及其子公司CoinDesk已向美国证券交易委员会(SEC)提交首次公开募股(IPO)申请。根据申请文件,Bullish计划发行2030万股,发行价区间为28-31美元/股,最高募资金额为6.29亿美元,对应公司估值约42亿美元。 Bullish业务范围包括数字资产现货交易、杠杆交易和衍生品交易,同时为稳定币发行机构提供流动性服务。财务数据显示,该公司2025年第一季度数字资产销售额达8020万美元,净亏损3.49亿美元。Bullish曾于2023年以7260万美元收购加密货币媒体平台CoinDesk。

  • 欧盟将对美国的贸易反制措施暂停6个月

    市场消息:欧盟将对美国的贸易反制措施暂停6个月

  • 去中心化操作系统 OpenMind 完成 2000 万美元融资,Pantera Capital 领投

    智能机器去中心化操作系统 OpenMind 宣布完成 2000 万美元融资,Pantera Capital 领投,Coinbase Ventures、Digital Currency Group 和 Ribbit 等参投。 据悉,这家初创公司正在开发一款名为 FABRIC 的“硬件无关”操作系统,旨在支持“智能机器融入日常生活”。该协议为支持人工智能的机器人提供了一种通信和协调的方式。

  • 加强个人境外收入监管 境外买卖股票收入也要缴税

    《金融时报》刊文,据了解,近期有纳税人收到了税务部门通知,告知其需要依法办理境外所得申报并缴纳相应税款。“根据我国个人所得税法,个人股票交易所得属于财产转让所得,应当适用20%的税率按次征收。其中,个人在境内二级市场的股票交易所得暂免征收个人所得税;在境外直接进行股票交易所得没有免税规定,需要在取得所得的次年申报纳税。”吉林财经大学税务学院院长张巍解释说。为了更加合理的征收,我国税务部门在征管时,允许纳税人按照纳税年度盈亏相抵,但不允许跨年互抵。依法纳税是每个公民应尽的义务。个人未申报或者未如实申报境外所得,除了会被税务机关要求补缴税款外,还会被加收滞纳金,情形严重的还可能被稽查部门立案检查,将面临税务处罚。纳税人如果发现自己此前申报个税时,存在少报、漏报境外所得的,要及时补正。

  • 美国SEC文件显示特斯拉批准向马斯克授予9600万股股票奖励

    美国SEC文件显示:特斯拉(TSLA.O)批准向马斯克授予9600万股股票奖励,马斯克将按每股23.34美元的价格购买已获授股票。

  • Binance Alpha:持有至少 200 币安 Alpha 积分的用户可申领 1000 个 DARK 代币空投

    据官方公告,Binance Alpha 是首个上线 DarkStar(DARK)的平台,Alpha 交易将于 2025 年 8 月 4 日 20:00(UTC+8)开始。 交易开始后,持有至少 200 个币安 Alpha 积分的用户可申领 1000 个 DARK 代币空投。先到先得。若活动未结束,则分数门槛将每小时自动降低 15 分。 请注意,申领空投将消耗 15 个币安 Alpha 积分。用户需在 Alpha 活动页面于 24 小时内确认申领,否则视为放弃领取空投。

  • BNB Chain第二次Sunset分叉计划已完成

    据官网信息显示,BNB Chain第二次Sunset分叉计划已完成。

  • Paradigm研究员:Uniswap推迟“UNI质押和委托奖励”投票是因为某家VC在施压

    针对“Uniswap 推迟原定于周五进的 UNI 质押和委托奖励投票”一事,Paradigm 研究员 Dan Robinson 于 X 发文表示:“令人失望的是,某家大型 VC 试图在最后一刻操纵代币治理流程并推迟社区提案,以推进他们自己的‘宠物’项目。”Dan Robinson 并未明确指出具体是哪家 VC。此前消息,Uniswap 基金会推迟了原定于周五进行的 UNI 质押和委托奖励投票,原因是某个利害相关者与基金会讨论了一些需要被关注的问题,需要额外的尽职调查来全面审查,由于提案升级的不可变性和敏感性,故决定推迟投票。