原文作者:Ailsa
多鏈生態的繁榮催生了用戶對跨鏈的需求。鏈與鏈之間的跨鏈交互的日益增加,但與此同時跨鏈安全事件頻頻發聲,跨鏈安全成為市場關注的焦點。根據成都鏈安等聯合發布的《 2022 年全球Web3區塊鏈安全態勢報告及加密行業監管政策總結》, 2022 年Web3領域因各類攻擊造成的總損失達到了 36 億美元,其中跨鏈應用安全事件造成的損失占比 52.5% ,居所有項目類型損失第一位。
根據公開數據整理, 2021 年和 2022 年共發生 25 起跨鏈應用安全事件, 19 個跨鏈橋項目遭到攻擊,總損失額達到 26.46 億美元。黑客攻擊導致損失上億美元的跨鏈項目包括 Ronin Bridge、Poly Network、Binance Bridge、Wormhole、Nomad、Harmony Bridge (Horizon) ,損失金額分別達到了 6.24 億美元、 6.11 億美元和 5.7 億美元、 3.26 億美元、 1.9 億枚美元和 1 億美元。
圖 1 損失金額排名前 10 的跨鏈項目
通常情況下跨鏈項目匯集了大量資產,所擁有的 TVL(Total Value Locked,總鎖倉價值)遠遠超過一般的區塊鏈協議,這就使得跨鏈項目很容易成為黑客攻擊的首選目標。 跨鏈的安全性至關重要。
安全性不僅來源于跨鏈解決方案本身帶來的安全性,還根植于項目決策者為預防和防控安全危機的發生所設計的安全政策。
當前市場對跨鏈的需求主要面向數字資產,但跨鏈不僅局限于資產的轉移和交換,隨著區塊鏈承載的職能越來越豐富,區塊鏈的跨鏈一定會從當前的資產跨鏈,發展到消息跨鏈和功能跨鏈,從單一類別數據的跨鏈發展到通用數據的跨鏈。
目前市場已有跨鏈項目開始布局消息跨鏈領域。如 Axelar、Celer Network、Layerzero、Multichain、Wormhole、Chainlink CCIP、Polkadot XCMP 以及 Cosmos IBC 等。 由于 Chainlink CCIP 的開發開發仍在進行中,Polkadot XCMP 以及 Cosmos IBC 主要適用于同構區塊鏈之間的跨鏈,因此本文主要對 Axelar、Celer Network、Layerzero、Multichain 和 Wormhole 這 5 個更具有拓展性的消息跨鏈項目進行安全性相關內容的梳理和總結。
跨鏈技術主要解決的是不同區塊鏈之間資產或者信息無法交互的問題。一筆跨鏈流程由多個不同區塊鏈交易組成,分別運行在不同的區塊鏈系統,由于不同鏈之間存在共識機制、規則等差異,因此在跨鏈過程中,需要對跨鏈的內容進行驗證,以保障跨鏈過程中的安全性。
跨鏈安全屬性與跨鏈橋的去信任化水平息息相關,去信任水平體現在跨鏈項目如何驗證起始鏈狀態以及將交易傳輸到目標鏈過程中。每個跨鏈解決方案都有自己的安全和信任機制。
Axelar 是一個旨在為WEB3 提供安全跨鏈通信的通用覆蓋網絡, 2022 年 5 月,Axelar 在其主網上啟動了通用消息傳遞。通過 Axelar 通用消息傳遞功能,可以跨所有鏈啟用多對多通信,允許用戶組合 DeFi 功能、移動代幣和 NFT,以及在各種生態系統的 dApp 之間執行任何類型的多鏈調用。 Axelar 通過部署多層防御來解決復雜的網絡安全問題。其安全堆棧始于 POS 共識和多樣化的節點技術堆棧。
圖 2 Axelar 技術堆棧圖
Flamingo:除跨鏈功能暫停外,并未受Poly Network攻擊事件影響:7月2日消息,全棧DeFi協議Flamingo Finance發推稱,正在調查最近Poly Network攻擊事件對Flamingo的影響。經初步調查,除了跨鏈功能暫停外,此次黑客攻擊似乎并未影響Neo網絡或Flamingo。[2023/7/2 22:13:26]
Axelar network 本身是一條基于 Pos 共識的L1區塊鏈,Axelar 由去中心化網絡的驗證人、安全網關合約、統一翻譯、路由架構以及一套適用于協議和應用的編程接口(APIs)組成。
Axelar 通過其網絡的驗證者運行不同鏈的節點獲取并同步各個區塊鏈系統中的狀態信息。驗證者由 Token 持有者選舉產生,并按比例獲得投票權,投票權重由委托權益加權計算得出。目前 Axelar 網絡已經激活的驗證者有 70 個,并且必須獲得超過 66.67% 的多數投票才能簽署消息。
此外,投票權偏斜會降低PoS系統的安全性。Axelar 為 PoS 為緩解驗證者的不均衡性問題,防止投票權利過于集中,采用了二次方投票的方案,簽名權重將與驗證人質押的 Token 數量的平方根成正比。當驗證者不斷增加質押數量,投票權累計變得更加困難。
Celer IM 是 Celer Network 面向開發者的工具和基礎設施,cBridge 可以看作是建立在 Celer IM 上的資產橋梁。
Celer 為所有用戶設置了雙重安全保障。
首先是 cBridge 的安全由 State Guardian Network( 簡稱 SGN)保障。SGN 是一個基于 tendermint 的 PoS 區塊鏈,Celer Network 旗下的其他產品,包括 cBridge 和 Celer IM,在跨鏈交易中都高度利用了 SGN 的 PoS 安全性、快速確認和低成本的特征。
SGN 有 21 個驗證者,一條信息必須由 2/3 的驗證者批準,想要成為 SGN 的驗證者需要質押代幣 CELER。此外 Axelar 設置了質押和罰沒機制。如果驗證著出現故障或者被惡意破壞,將承擔罰沒的風險,質押 CELR 的數量越多,網絡越安全。
目前,Celer 狀態守衛者網絡 2.0 已成功升級。相較于 SGN 1.0 ,SGN 2.0 著重優化了其從交易中捕獲價值的能力:對于 cBridge 而言,SGN 捕獲的價值基于其在 cBridge 資金池模式中每次處理交易量的大小;對于 Celer IM 而言,價值捕獲基于跨鏈消息的大小。
中間延遲是 Celer 為 Dapps 專門設置的一個額外保障。即使大部分 SGN 被黑,如果沒有資產真實發送,Celer 可以通過中間延遲的方式打斷在目標鏈上的鑄造,Dapps 可以在延遲的抉擇上做出不同的選擇與權衡。在這個延遲期間,dApps 可以實現或委托 SGN 節點作為一個監護人服務,對消息進行雙重認證,在這個過程中監護人需要保持誠實和功能。
LayerZero 是一種全鏈互操作性協議,專注于鏈與鏈之間的數據消息傳遞 LayerZero 也是一個傳輸層協議,并沒有應用層,LayerZero 的架構主要包含端點(Endpoint),中繼節點(Relayer)和預言機(Oracle)。
圖 3 Layerzero 的通信過程 (來源:Layerzero 白皮書)
LayerZero 通過將消息及消息證明傳遞和驗證 Relayer 傳遞交易兩者做分割,確保跨鏈過程的安全。Relayer 負責傳遞消息及消息證明,Oracle 負責根據消息所在區塊,按需從源鏈獲取區塊頭,然后目標鏈上的終端根據 Oracle 獲取的區塊頭驗證 Relayer 傳遞的交易。layerzero 對區塊頭本身的驗證由作為外部驗證人的第三方 Oracle 網絡來完成的,驗證過程發生在鏈下,本質上仍是需要信任第三方的一種行為。此外 Layerzero 跨鏈消息的有效傳送需要其中繼節點和預言機互相獨立,需要假設預言機和中繼器之間不竄在惡意的勾結。
Paxos發布加密寒冬如何幫助拯救數字資產經濟白皮書:金色財經報道,數字資產公司Paxos發布《加密貨幣冬天如何幫助拯救數字資產經濟》白皮書。白皮書匯集了Paxos領導團隊和加密貨幣市場數據提供商Kaiko的內部人士的見解,《加密貨幣之冬如何幫助拯救數字資產經濟》提供了對2022年底和2023年初歷史性破壞后的加密貨幣行業的看法。
為了對數字資產領域在這一動蕩時期的過去、現在和未來提供一個全面的看法,《加密貨幣之冬如何幫助拯救數字資產經濟》深入探討了2022年加密貨幣之冬之前的幾年,FTX和Alameda Research的高調崩潰所帶來的影響,以及由此造成的2.1萬億美元的市值損失。該白皮書還研究了一些關鍵的前瞻性話題,如監管環境、加密貨幣行業的運營路徑、該行業如何與消費者、風險投資公司、機構投資者重新建立信任等。[2023/4/12 14:00:08]
Multichain 的前身是 Anyswap,是一個專注于跨鏈賽道的基礎設施,致力于成為 Web 3 的終極路由器。 anyCall 是 Multichain 在其 Bridge 和 Router 產品基礎上抽象出的新一代綜合消息跨鏈交互協議。
Multichain 的跨鏈技術方案采用了安全多方計算(Secure Muti-party Computation,簡稱 SMPC)解決方案,通過獨有的密鑰分片技術,密鑰分片分布在不同的節點上,每個節點獨立擁有部分私鑰,完整的私鑰在整個 MPC 網絡生命周期內都不會出現,通過 SMPC 安全多方計算+TSS 門限簽名技術,確保密鑰生成、存儲和驗簽的全程安全,并在這種安全保證基礎上實現節點之間的互操作。
根據 anyCall 白皮書內容,anyCall 由位于下層的鏈外信任機制和上層的部署在鏈上的調用/觸發 API 組成。 其中由鏈外信任機制負責對源鏈“消息”鑒證共識,并按照指定的邏輯執行目標鏈尋址,并構建相應操作。
圖 4 anyCall 技術架構(來源 anyCall 白皮書)
底層 fastMPC 去中心化的信任機確保了 anyCall 的綜合消息跨鏈交互協議的去中心化屬性。目前 Multichain 網絡由 21 個節點組成,由不同的機構運行,并且需要大多數節點來共同驗證消息。Multichain 的安全性依賴于節點的聲譽。SMPC 節點成員不需要質押,且相對固定,AnyCall 的安全建立在對 SMPC 節點的信任假設基礎上。
目前 Multichain 已經將底部信任層從 SMPC 網絡升級到了 fastMPC Network。fastMPC 節點的執行速度比原有的 SMPC 1.0 快 4-5 倍,是更快速、更流暢的跨鏈解決方案,同時由于 fastMPC 向社區公眾開放,這種開放式的模式去中心化優勢更加突出。
Wormhole 是一種通用的消息傳遞協議,Wormhole 的信任層采用 PoA 機制構建,由一組受信任的 Guardians(守護者)負責鏈間消息的驗證、傳輸和處理從一個區塊鏈到另一個區塊鏈的消息。Guardians 是特定的具有資本背書和聲譽背書的主體,包括 Jump Crypto、Everstake 和 Chorus One 等知名機構。 目前守護者網絡有 19 名守護者,守護者負責 Wormhole 網絡上的交易驗證, 2/3 的守護者需要共同驗證,一旦共識達成, 證明將會發送至目標網絡進行交易或者特定合約執行。
圖 5 跨鏈解決方案帶來的安全性
值得說明的是,基于 SMPC 的跨鏈方案和多重簽名方案相比更具有去中心化的特性。多重簽名方案需要驗證者擁有完整的私鑰對交易進行簽署,而在基于 SMPC 的方案中,整個密鑰管理周期內,完整的私鑰從未真正出現過,驗證時并不獨立擁有完整的私鑰,簽名確認交易只需湊齊幾個私鑰分片的簽名即可,不存在泄露完整私鑰的問題。
外媒:紐約金融服務部稱Paxos并未以“安全穩健”的方式管理BUSD:金色財經報道,紐約金融服務部(NYDFS)的一位發言人周一告訴路透社,Paxos Trust Company對幣安穩定幣BUSD的管理使其開放供不良行為者使用。該發言人稱,Paxos“違反了對幣安和Paxos發行的BUSD客戶進行量身定制的定期風險評估和盡職調查更新的義務,以防止不良行為者使用該平臺,該代幣沒有以安全穩健的方式被管理”。
此前報道,該州金融監管機構此前曾責令Paxos停止發行新的Binance USD。NYDFS表示,由于與Paxos監督其與Binance的合作有關的幾個未解決問題,它已指示Paxos停止鑄造穩定幣,Paxos表示將終止與幣安的BUSD合作關系。[2023/2/14 12:04:58]
跨鏈項目自身的跨鏈解決方案不意味著可以規避所有的風險,為積極防范和應對安全風險需要增加其他安全政策。安全政策的設計可以為用戶提供更加強大的安全保障 ,安全政策應貫穿安全事件發生前、發生中和發生后。
安全事件發生前:這個階段項目可能存在安全隱患,但沒有被發現或利用。項目按照事先確定的安全政策開展項目的安全性運營。
安全事件發生中:這個階段安全事件正在發生,但項目方可能還未察覺,采取何種措施讓項目及時發現該安全事件非常重要。
安全事件發生后:這個階段可能涉及資產損失,項目在知悉攻擊發生且了解到漏洞存在后需要進一步采取的措施以減少攻擊波動的范圍,避免造成更多的損失出現。用戶補償方案的確定,如何更快地讓業務恢復正常運營以及反思安全過程中存在的問題并提出進一步的安全保障機制,也發生在這一階段。
Axelar 的安全事件應對政策主要集中在安全事件發生前,主要要措施包括進行安全審計,開啟漏洞賞金、頻繁的密鑰輪換和進行速率限制。
(1 )安全審計。目前 Axelar 的安全審計覆蓋涵蓋其核心協議、智能合約、密碼庫、前端和后端代碼等,從 2021 年 8 月到 2022 年 8 月,Axelar 已進行 27 余次審計,審計機構包括 Ackee Blockchain、Chaintroopers、Certik 等。詳見https://github.com/axelarnetwork/audits。
(2 )漏洞賞金。自 2022 年 3 月 10 日開始,Axelar 與 Immunefi 的合作,設立了最高 225 萬美元的賞金計劃,詳見https://immunefi.com/bounty/axelarnetwork/。Axelar 還在其官方文檔中,明確了提交漏洞的方式,但是通過提交至security@axelar.network的漏洞,Axelar 明確表示最高獎勵 100 美元 詳見https://docs.axelar.dev/bug-bounty。
(3 )頻繁的密鑰輪換。攻擊者可能會嘗試通過依次破壞驗證器來積累惡意密鑰 密鑰輪換可以保護 Axelar 網絡免受頑固的攻擊者的攻擊。
(4 )速率限制。Axelar 的 ERC-20 合約具有速率限制功能,Axelar 可以對在給定時間間隔內可以傳輸多少資產設置上限。這可以最大限度地減少攻擊,能減少攻擊時可能被盜的資金數量。
Celer Network 的安全事件應對政策主要集中在安全事件發生前和安全事件發生中。
安全事件發生前 Celer 的主要要措施包括進行安全審計、開啟漏洞賞金、搭建風控系統、應用層限流、 24 小時監控和主動前端和 DNS 完整性檢查。
(1 )安全審計。針對 Cbridge,Celer 目前只進行了 3 次審計,合作的審計機構為 CertiK、PeckShield 和 SlowMist。詳見https://cbridge-docs.celer.network/reference/audit-reports。針對 Celer IM,Celer 目前進行了 2 次審計,合作的審計機構為 PeckShield 和 SlowMist。詳見https://im-docs.celer.network/audit-reports。
Doodles:將在Flow區塊鏈上發布Doodles 2:金色財經報道,NFT 項目 Doodles 官方表示,將在 Flow 區塊鏈上發布 Doodles 2(Doodles 仍在以太坊區塊鏈),Doodles 團隊自去年以來一直在構建最新的 NFT 項目,此前還發布了一段彩色動畫視頻。
據悉,Doodles 2 將允許任何人制作基礎涂鴉并選擇膚色和頭發顏色等通用特征。并可以使用具有不同稀有等級的可穿戴設備對 Doodles 2 進行定制,NFT 將是動態的,圖像將以全身或 PFP 的形式提供。[2023/1/26 11:30:19]
(2 )漏洞賞金。自 2021 年 11 月 18 日,Axelar 與 Immunefi 的合作,設立了最高 200 萬美元的賞金計劃。詳見https://immunefi.com/bounty/celer/。
(3 )搭建風控系統。通過風控系統可以監控橋的整體流動性,資產信息以及變化。
(4 )限流功能。Celer 在應用層設置的安全屏障,使單位時間內不能超過某一個特定的閾值,超過了會順延時遞 。
(5 ) 24 小時監控機制。可第一時間發現可疑問題。
(6 )主動前端和 DNS 完整性檢查。這是 Celer 針對 2022 年 8 月發生的攻擊事件添加的功能,以防止類似事件再次發生。
在發現安全事件的過程中,根據慢霧安全團隊對 2022 年 8 月對 cBridge 跨鏈橋事故真相的分析,可以發現除了自身的 24 小時監控機制,Celer 聯合了慢霧安全團隊。詳見https://mp.weixin.qq.com/s/SInU_o 3 Ct-7 A 6 pFbKLqzHQ。
Layerzero 的安全事件應對政策主要集中在安全事件發生前,主要要措施包括進行安全審計和開啟漏洞賞金。
(1 )安全審計。LayerZero Labs 表示其已經委托了 35 次以上的審計,但 LayerZero 在代碼部署方面相對不透明,且其安全審計內容在其 Github 上也不能公開查詢,詳見https://github.com/LayerZero-Labs/Audits。
(2 )漏洞賞金。在 layerero 官方文檔中表示將設立最高賞金為 1500 萬美元實時漏洞賞金計劃,并給出了報告提交地址。詳見 https://layerzero.gitbook.io/docs/bug-bounty/bug-bounty-program。
此外,LayerZero 曾在 2022 年 4 月宣布與 Immunefi 合作,設立 1500 萬美元漏洞賞金計劃。但迄今為止在 Immunefi 平臺上仍未能檢索到改項目。
2022 年 8 月,Multichain 算法&安全官 X Chang 曾在其官方博客中明確提到 Multichain 的安全策略,以黑客攻擊事件發生的時間點分為三個階段,即:發生前,發生時,發生后,且每個階段都有對應的應對步驟與策略。
安全事件發生前的安全措施包括安全公司審計與內部開發者審計、開啟漏洞賞金、安全事件輿論監測和跨鏈金額限制及鏈資金流量和總量限制。
(1 )全公司審計與內部開發者審計。截至目前,Multichain 累計進行了大量外部審計,外部審計 的合作伙伴包括 BlockSec、Certik、Dedaub、PeckShield、SlowMist、TrailofBits、Verichain 等多家知名機構。Multichain 上線的 anyCall、Router V 7、VeMulti、Multichain V 6、Threshold-DSA、 V 5 ERC 20、Cross Chain-Bridge 等產品都經歷了嚴格的外 部審計。 詳見https://github.com/anyswap/Anyswap-Audit/。同時 Multichain 團隊設置了周期性的內部審計會議,至少為每月 1 次。
報告:上周加密貨幣投資產品凈流入2.74億美元,創年內新高:金色財經消息,據CoinShares發布的周報數據,數字資產投資產品上周流入量達到2.74億美元,創年內新高。其中,比特幣流入資金最多,上周流入總額為2.99億美元。而以太坊上周繼續出現2700萬美元的資金流出,目前流出總額已達到2.36億美元,占總AUM的2.6%。
此外,區塊鏈股票投資者資金流出總額為5100萬美元,為第三大資金流出記錄。[2022/5/17 3:20:50]
(2 )漏洞賞金。Multichain 運行著兩個漏洞賞金計劃,首先是自 2022 年 3 月 16 日起,Multichain 正式與 Immunefi 建立合作,設立了最高 200 萬美元的賞金計劃,且根據提交漏洞的嚴重程度具體分析,賞金上不封頂。詳見https://immunefi.com/bounty/multichain/。此外 Multichain 還提供了一個可選擇的漏洞賞金方案,Multichain 將為符合條件的漏洞發現提供最高 100 萬 美元的獎勵。詳見https://docs.multichain.org/getting-started/security/bug-bounty-alternative。
(3 )安全事件輿論監測。通過設置關鍵詞在主要媒體平臺進行輿論監測,以期第一時間能夠獲取到行業內最新發生的安全事件,并舉一反三,反思 Multichain 產品是否存在有類似的問題,及時作出事件應對反應。
(4 ) 跨鏈金額限制及鏈資金流量和總量限制。對于大額資金的跨鏈交易,平臺采取延遲到賬的規則。對于新開發鏈或安全評級略低的鏈,限定在某一時間段內,跨入或跨出的總量限制在一定范圍內。
安全事件發生中的安全措施包括鏈上異常情況監測和調動社區、DAO的力量,反饋平臺產品的異常行為。
(1 )鏈上異常情況監測。通過設置了一系列鏈上監測策略 Watchdogs,希望及時監測到數據異常行為。
(2 )調動社區、DAO 的力量,反饋平臺產品的異常行為。分調用社區用戶、DAO 的力量,對 Multichain 產品的異常情況進行反饋,團隊在分析異常行為驗證后做出及時響應措施。
安全事件發生后的安全措施包括 暫停所有相關平臺產品以及安全基金兜底用戶資產風險。
(1 )暫停所有相關平臺產品。第一時間了解到漏洞存在后,及時、有效的關閉產品。
(2 )安全基金兜底用戶資產風險。Multichain 設置了安全基金,約定將跨鏈手續費的 10% 拿出,用以補償用戶在特殊情況下受到的資金損失,給平臺用戶的資產帶來安全保障。Multichain 安全基金于 2022 年 3 月設立,截至 2023 年第一季度,Multichain 安全基金已累計金額超 144 萬美元。 具體安全政策詳見https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde 0397 accf 5 。
Wormhole 的安全事件應對政策主要集中在安全事件發生前和安全事件發生后。 安全事件發生前的安全措施包括安全審計、開啟漏洞賞金、社交媒體監控、設置異構監控策略和推出 Governor 功能。
(1 )安全審計。Wormhole 也非常重視安全審計,與 Certik,Coinspect,Hacken,Halborn,Kudelski,Neodyme,OtterSec,Trail of Bits,Zellic 展開安全審計方面的合作。 詳見https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116 ecfb 91 。
(2 )漏洞賞金。Wormhole 項目也運行兩個漏洞賞金計劃,首先是自 2022 年 2 月 11 日開始與 Immunefi 的合作,設立了最高 250 萬美元的賞金計劃。詳見https://immunefi.com/bounty/wormhole/。另外也可在其官網上瀏覽相關信息并提交報告。詳見 https://wormhole.com/bounty/。另外 Wormhole 提供了使用 Wormhole 的策略列表,這可以降低白帽黑客在 Wormhole 中發現安全漏洞的門檻。
(3 )社交媒體監控。Wormhole 維護著一個社交媒體監控程序,以便 Wormhole 項目獲悉依賴項中的漏洞可能會對 Wormhole、其用戶或 Wormhole 所連接的鏈產生負面影響。
(4 )設置異構監控策略。Wormhole 在 Guardian 中設置異構監控策略,增加檢測欺詐活動的可能性。Wormhole 期望所有守護者都開發和維護自己的安全監控策略。
(5 )推出 Governor 功能。創建和部署此功能的核心原因是幫助防范智能合約或 L1 妥協的存在風險。此功能允許 Wormhole Guardians 具有可選功能,可以在每條鏈的基礎上對任何已注冊的資產的名義價值流量進行速率限制。
Wormhole 在安全事件發生中的安全措施不明確,但是在 2022 年 2 月的 Wormhole 攻擊事件是蟲洞網絡貢獻者在例行檢查中注意到未償資金的差異,并立即開展調查確定的漏洞。
安全事件發生后的安全措施包括建立事件響應機制和緊急暫停。
(1 )事件響應機制。Wormhole 維護著一個事件響應程序,以響應對 Wormhole、其用戶或其連接的生態系統的漏洞或活動威脅。
(2 )緊急暫停。Wormhole 項目評估了具有安全功能的概念,允許 Wormhole 智能合約在存在危機狀態期間暫停而無需合約升級。
此外,在針對 2022 年 2 月 2 日遭黑客攻擊事件發布的報告中, Wormhole 提到將進一步加強跨鏈消息傳遞和橋接的安全措施,主要包括隔離各個鏈風險的會計機制、動態風險管理、持續監控和早期發現事件。
目前跨鏈市場上驗證方式可以分為三種,即原生驗證、本地驗證和外部驗證。這三類驗證方式都有自身的局限性,難以兼顧去信任化、可拓展性和通用性。
外部驗證方案是通用性非常高且可擴展的跨鏈計算方案,可以支持更復雜的跨鏈應用。本文中所提到的 Axelar、Celer Network、Layerzero、Multichain 和 Wormhole 都屬于外部驗證者一類,他們可以在鏈下完成驗證,可拓展性較高,能覆蓋不同技術架構的區塊鏈,并且可以實現通用的消息跨鏈。但是由于用戶必須信任這一組外部節點構成的中繼網絡,其在安全程度上要弱于無需信任的本地驗證和原生驗證方案。
最安全的跨鏈橋設計應該是最小化信任。但目前市面上存在的原生驗證方案,如 Hop 和 Connext 通用性差,不適用于通用消息跨鏈, Cosmos IBC 和 Polkadot XCMP 這類原生驗證方案可拓展性較弱,更多適用于同構區塊鏈,難以兼容 Ethereum、Solana等眾多異構鏈。
ZKP技術則為安全的跨鏈通信帶來了新的路徑。ZKP 跨鏈作具有去信任化,通用性強,成本低等優勢。相對于目前通過信任第三方實現的跨鏈通信的跨鏈方案,ZKP 跨鏈不引入任何信任假設,用戶只需要信任源鏈共識和目標鏈共識,屬于原生驗證方案一類。而且 ZKP 通過生成簡潔的 ZKP 證明,減少 Gas 費用的需求,使得目標鏈可以高效地驗證目標鏈交易,鏈上驗證成本降低。
Hyper Oracle、Succinct、Nil.foundation 等通過 ZKP 技術入局跨鏈市場也印證了 ZKP 技術用于實現更安全跨鏈方案的潛力。目前 Multichain、Celer Network 和 Wormhole 已經開始布局 ZKP 跨鏈。
圖 7 ZKP 跨鏈新布局
此外,通過 Axelar、Celer、Layerzero、Multichain 和 Wormhole 公開的信息,梳理其對安全事件的應對政策,可以發現存在以下幾點問題。
(1 )創新性方案非常匱乏。Multichain 設立安全基金,用于補償用戶因多鏈系統和服務漏洞而造成的任何潛在損失。這種具有兜底性質的安全方案在行業中尚不多見。
(2 )并不是每一個跨鏈項目都覆蓋事前事中事后的安全政策。在本文所選的 5 個項目中,只有 Multichain 明確了事前事中事后的安全政策。
(3 )安全保障機制尚不完善。開啟漏洞賞金和進行安全審計是安全事件發生前的常見操作。但跨鏈項目缺少全面的綜合性的安全應對解決方案和安全機制,相關的安全措施往往是在安全事故發生后才提出,事先并沒有完整性的安全標準和危機應對流程。如 Wormhole、Multichain 是在安全事件發生后才與 Immunefi 合作開啟漏洞賞金計劃。
跨鏈技術目前仍處于初步探索階段,行業內也尚未形成統一的跨鏈標準和穩定的跨鏈體系。雖然跨鏈項目對于跨鏈安全付出了很多努力,但依賴于跨鏈項目本身的解決方案以及采取的非技術安全措施無法一勞永逸解決跨鏈安全的難題。防范安全攻擊是一項永無止境的任務,雖然 ZKP 給予了解決跨鏈安全問題的新思路,但整體來看,ZK 跨鏈項目普遍沒有經歷大規模的市場檢驗,合約的安全性仍需要進一步跟蹤和觀察。各種跨鏈方案在在發展過程中也會遇到各種安全性挑戰,如網絡安全挑戰、技術本身存在的挑戰、無法避免出現的智能合約漏洞等。跨鏈安全的道路任重而道遠!
參考文獻:https://axelar.network/blog/an-introduction-to-the-axelar-networkhttps://axelar.network/blog/security-at-axelar-corehttps://docs.axelar.dev/learn/securityhttps://celer.network/technology#tophttps://twitter.com/CelerNetworkcn/status/1560911682339508224 https://mp.weixin.qq.com/s/SInU_o3Ct-7A6pFbKLqzHQhttps://blog.celer.network/2023/03/21/brevis-a-zk-omnichain-data-attestation-platform/https://layerzero.network/pdf/LayerZero_Whitepaper_Release.pdfhttps://drive.google.com/file/d/1NFFFecAjStbGMyvJVDez3xmsGSHYvNYv/viewhttps://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde0397accf5https://medium.com/multichainorg/multichain-contract-vulnerability-post-mortem-d37bfab237c8https://drive.google.com/file/d/1ibuHChcYcYCN6JelRAQPnM4rkaB9EgAM/viewhttps://github.com/wormhole-foundation/wormhole/blob/dev.v2/SECURITY.md#3 rd-party-security-auditshttps://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116ecfb91
Odaily星球日報
媒體專欄
閱讀更多
金色薦讀
金色財經 善歐巴
Chainlink預言機
區塊律動BlockBeats
白話區塊鏈
金色早8點
歐科云鏈
MarsBit
深潮TechFlow
原文:《幣安、高盛等大機構爭相布局的 RWA,是 DeFi 下輪增長引擎還是曇花一現?》作者:flowie.
1900/1/1 0:00:004月26日,記者在螞蟻數字科技開發者大會上了解到,螞蟻集團科技業務的最新成果又向前推進了一步。螞蟻集團資深副總裁、數字科技事業群總裁蔣國飛在演講中披露,螞蟻數科推出支持萬級節點、十萬級交易TPS.
1900/1/1 0:00:00作者:Rafael Schultze-Kraft, Glassnode創始人兼CTO編譯:Felix, PANews比特幣鏈上交易的數量最近出現了驚人的增長,單日交易超過50萬筆.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:485.97億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量23.
1900/1/1 0:00:00DAO在加密領域獲得了極大的關注和投資,其中有幾個DAO在各自的國庫中管理著數十億美元。然而,并不是所有DAO的參與者都有著高尚的目的.
1900/1/1 0:00:00編輯:Bowen@Web3CN.Pro隨著2022年末ChatGPT走紅,AI再次成為人們關注的焦點。上一次AI掀起輿論熱潮,還是2016年AlphaGo以4:1戰勝世界頂級圍棋棋手李世石.
1900/1/1 0:00:00