當(dāng) Axie Infinity 和 DeFi Kingdoms 等游戲類(lèi)Dapp維持著像 Ronin 和 Harmony 等整個(gè)生態(tài)系統(tǒng)時(shí)，F(xiàn)antom 或 Avalance 等網(wǎng)絡(luò)協(xié)議已經(jīng)在 DeFi 浪潮中賺的盆滿(mǎn)缽滿(mǎn)。這些區(qū)塊鏈已成為以太坊汽油費(fèi)和相對(duì)緩慢的交易時(shí)間的重要替代品。想要一種簡(jiǎn)單的能在不同區(qū)塊鏈上的協(xié)議之間移動(dòng)資產(chǎn)的方法變得比以往任何時(shí)候都更加迫切。

這就是區(qū)塊鏈鏈橋的誕生之地。

由于多鏈場(chǎng)景的應(yīng)用，所有 DeFi Dapp 的總鎖定價(jià)值(TVL:Total Value Locked)飆升。截至 2022 年 5 月，該行業(yè)的 TVL 估計(jì)為 1112.8 億美元。這些 DeFi Dapp 中鎖定和橋接的龐大資產(chǎn)吸引了惡意黑客的注意力，最新趨勢(shì)表明，攻擊者可能已經(jīng)在區(qū)塊鏈網(wǎng)橋中發(fā)現(xiàn)了薄弱環(huán)節(jié)。

根據(jù) Rekt 數(shù)據(jù)庫(kù)，2022 年第一季度有 12 億美元的加密資產(chǎn)被盜，根據(jù)同一來(lái)源，占?xì)v史被盜資金的 35.8%。有趣的是，2022 年至少 80% 的損失資產(chǎn)是從鏈橋上被盜的。

最嚴(yán)重的攻擊之一發(fā)生在3月份，當(dāng)時(shí)Ronin 橋被黑客入侵，損失了 5.4 億美元。在此之前，Solana Wormhole和 BNB Chain 的 Qubit Finance 橋在 2022 年被盜了超過(guò) 4 億美元。加密歷史上最大的黑客攻擊發(fā)生在 2021 年 8 月，當(dāng)時(shí) PolyNetwork 橋被盜了 6.1 億美元，但被盜資金后有被追回。

鏈橋是區(qū)塊鏈行業(yè)中最有價(jià)值的工具之一，但它們的互操作性對(duì)構(gòu)建它們的項(xiàng)目提出了重要挑戰(zhàn)。

1.了解區(qū)塊鏈橋梁

類(lèi)似于曼哈頓橋，區(qū)塊鏈橋是連接兩個(gè)不同網(wǎng)協(xié)議絡(luò)的平臺(tái)，可實(shí)現(xiàn)資產(chǎn)和信息從一個(gè)區(qū)塊鏈到另一個(gè)區(qū)塊鏈的跨鏈傳輸。通過(guò)這種方式，加密貨幣和 NFT 不會(huì)孤立在其本鏈中，而是可以跨不同的區(qū)塊鏈“橋接”，從而增加這些資產(chǎn)的利用途徑。

幸虧有鏈橋的存在，比特幣可被用于基于智能合約的網(wǎng)絡(luò)中，用于 DeFi 目的或者讓 NFL 、 NFT 可以從 Flow 橋接到以太坊以進(jìn)行細(xì)分或作為抵押品。

當(dāng)然，想要轉(zhuǎn)移資產(chǎn)還有一些其他不同的方法。比如Lock-and-Mint，顧名思義其橋接的工作原理就是將原始資產(chǎn)鎖定在發(fā)送方的智能合約中，而接收網(wǎng)絡(luò)在另一方鑄造原始代幣的副本。如果以太幣從以太坊橋接到 Solana，那么 Solana 中的以太幣只是副本，而不是以代幣本身。

鎖定和鑄幣機(jī)制

雖然Lock-and-Mint方法是目前最流行的橋接方法，但還有其他方法可以完成資產(chǎn)轉(zhuǎn)移，例如“burn-and-mint”或由智能合約自行執(zhí)行兩個(gè)網(wǎng)絡(luò)之間交換資產(chǎn)atomic swaps。Connext(以前稱(chēng)為 xPollinate)和cBridge是依賴(lài)于atomic swaps的鏈橋。

從安全的角度來(lái)看，鏈橋可以分為兩大類(lèi)：受信任和去信任。受信任的鏈橋是依賴(lài)第三方來(lái)驗(yàn)證交易的平臺(tái)，但更重要的是，它可以充當(dāng)橋接資產(chǎn)的保管人。幾乎所有特定于區(qū)塊鏈的橋梁都可以找到可信橋梁的案例，例如 Binance Bridge、Polygon POS Bridge、WBTC Bridge、Avalanche Bridge、Harmony Bridge、Terra Shuttle Bridge，以及 Multichain(以前稱(chēng)為 Anyswap)或 Tron 的 Just Cryptos 等Dapps。

相反，純粹依靠智能合約和算法來(lái)托管資產(chǎn)的平臺(tái)是去信任的鏈橋。去信任鏈橋的安全因素與資產(chǎn)被橋接的底層網(wǎng)絡(luò)相關(guān)，即資產(chǎn)被鎖定的地方。在NEAR 的 Rainbow Bridge、Solana 的 Wormhole、Polkadot 的 Snow Bridge、Cosmos IBC 以及 Hop、Connext 和 Celer 等平臺(tái)中可以找到去信任的鏈橋。

乍一看，去信任鏈橋似乎為在區(qū)塊鏈之間轉(zhuǎn)移資產(chǎn)提供了更安全的選擇。然而，受信任和去信任的鏈橋都面臨著不同的挑戰(zhàn)。

2.受信任和去信任鏈橋的局限性

Ronin 鏈橋作為一個(gè)集中的受信任運(yùn)行平臺(tái)，該鏈橋使用多重簽名錢(qián)包來(lái)托管橋接資產(chǎn)。簡(jiǎn)而言之，多重簽名錢(qián)包是一個(gè)需要兩個(gè)或兩個(gè)以上加密簽名來(lái)批準(zhǔn)交易的地址。在 Ronin 的案例中，側(cè)鏈有九個(gè)驗(yàn)證者，需要五個(gè)不同的簽名來(lái)批準(zhǔn)存款和取款。

其他平臺(tái)使用相同的方法，但風(fēng)險(xiǎn)分散性更好一點(diǎn)。例如，Polygon 依賴(lài)于 8 個(gè)驗(yàn)證器并需要 5 個(gè)簽名。這五個(gè)簽名由不同各方控制。就 Ronin 而言，Sky Mavis 團(tuán)隊(duì)單獨(dú)持有四個(gè)簽名，造成單點(diǎn)故障。黑客一次性控制了四個(gè)Sky Mavis簽名后，只需要一個(gè)簽名就可以批準(zhǔn)資產(chǎn)的提現(xiàn)。

3 月 23 日，攻擊者控制了 Axie DAO 的簽名，這是完成攻擊所需的最后一部分。在有史以來(lái)第二大加密攻擊中，173,600 ETH 和 2550 萬(wàn) USDC 通過(guò)兩次不同交易從 Ronin 的托管合約中流失。值得注意的還有，Sky Mavis 團(tuán)隊(duì)在近一周后才發(fā)現(xiàn)黑客攻擊，這表明 Ronin 的監(jiān)控機(jī)制至少存在一定不完善的地方，這也揭示了這個(gè)受信任平臺(tái)的一個(gè)缺陷。

雖然集中化存在一個(gè)根本缺陷，但由于軟件和編碼中的錯(cuò)誤和漏洞，去信任的鏈橋也很容易受到攻擊。

Solana Wormhole 是一個(gè)實(shí)現(xiàn) Solana 和以太坊之間跨橋交易的平臺(tái)，在 2022 年 2 月遭受了攻擊，由于 Solana 的托管合同中的一個(gè)漏洞，3.25 億美元被盜。蟲(chóng)洞合約中的一個(gè)漏洞允許黑客設(shè)計(jì)跨鏈驗(yàn)證器，攻擊者從以太坊向 Solana 發(fā)送了 0.1 ETH，以觸發(fā)一組“傳輸消息”，誘使程序批準(zhǔn)假定的 120,000 ETH 存款轉(zhuǎn)移。

由于合同分類(lèi)和結(jié)構(gòu)存在缺陷Poly Network于 2021 年 8 月被盜 6.1 億美元后，Wormhole 黑客事件發(fā)生。該 Dapp 中的跨鏈交易由稱(chēng)為“守護(hù)者”的集中節(jié)點(diǎn)組批準(zhǔn)，并通過(guò)網(wǎng)關(guān)合約在接收網(wǎng)絡(luò)上進(jìn)行驗(yàn)證。在這次攻擊中，黑客能夠獲得作為管理員的特權(quán)，從而通過(guò)設(shè)置自己的參數(shù)來(lái)欺騙網(wǎng)關(guān)。攻擊者在 Ethereum、BinancDe、Neo 和其他區(qū)塊鏈中重復(fù)該過(guò)程以提取更多資產(chǎn)。

3.所有的橋梁都通向以太坊

以太坊仍然是行業(yè)中最主要的 DeFi 生態(tài)系統(tǒng)，占行業(yè) TVL 的近 60%。與此同時(shí)，這些不同的網(wǎng)絡(luò)協(xié)議作為以太坊 DeFi Dapp 替代品，它們的興起也引發(fā)了區(qū)塊鏈橋的跨鏈活動(dòng)。

業(yè)內(nèi)最大的橋是 WBTC 橋，由 RenVM 背后的團(tuán)隊(duì) BitGo、Kyber 和 Republic Protocol 托管。由于比特幣代幣在技術(shù)上與基于智能合約的區(qū)塊鏈不兼容，因此 WBTC 橋“包裝”原生比特幣，將其鎖定在橋托管合約中，并在以太坊上鑄造其 ERC-20 版本。這座橋在 DeFi Summer(自 2020 年夏天以來(lái)，在DeFi市場(chǎng)經(jīng)歷了驚人的增長(zhǎng)，所以稱(chēng)為“DeFi summer”)大受歡迎，現(xiàn)在持有價(jià)值約 125 億美元的比特幣。WBTC 允許將 BTC 用作 Aave、Compound 和 Maker 等 Dapp 的抵押品，或者在多種 DeFi 協(xié)議中產(chǎn)生收益或賺取利息。

Multichain，以前叫 Anyswap，是一個(gè) Dapp，它通過(guò)內(nèi)置的鏈橋向 40 多個(gè)區(qū)塊鏈提供跨鏈交易。Multichain 在基于所有連接的網(wǎng)絡(luò)基礎(chǔ)上持有 65 億美元。然而，以太坊的 Fantom 橋是迄今為止最大的池，它鎖定了 35 億美元。在 2021 年下半年，Proof-of-Stake 網(wǎng)絡(luò)因?yàn)閾碛杏形Φ氖找孓r(nóng)場(chǎng)，包括 FTM、各種穩(wěn)定幣或像 SpookySwap 上發(fā)現(xiàn)的 wETH，使之成為一個(gè)受歡迎的 DeFi領(lǐng)域。

與 Fantom 不同，大多數(shù) L1 區(qū)塊鏈?zhǔn)褂锚?dú)立的直接網(wǎng)橋連接網(wǎng)絡(luò)。Avalanche 橋主要由 Avalanche 基金會(huì)托管，是最大的 L1<>L1 橋。Avalanche 是最強(qiáng)大的 DeFi 領(lǐng)域之一，因?yàn)槠鋼碛邪?Trader Joe、Aave、Curve 和 Platypus Finance 等 Dapp。

Binance 橋也以 45 億美元的鎖定資產(chǎn)脫穎而出，緊隨其后的是 Solana Wormhole，其TVL為 38 億美元。

同樣，就TVL而言，Polygon、Arbitrum 和 Optimism 等擴(kuò)展解決方案也是最重要的橋梁之一。Polygon POS 橋是以太坊及其側(cè)鏈之間的主要入口點(diǎn)，是第三大橋，托管了近 60 億美元。同時(shí)，Arbitrum 和 Optimism 等流行的 L2 平臺(tái)的鏈橋的流動(dòng)性也在上升。

另一個(gè)值得一提的橋是 Near Rainbow 橋，旨在解決著名的互操作性三難困境(去中心化，擴(kuò)容，安全性)。這個(gè)將 Near 和 Aurora 與以太坊連接起來(lái)的平臺(tái)可能會(huì)為實(shí)現(xiàn)去信任鏈橋的安全性提供寶貴的機(jī)會(huì)。

4.如何提升跨鏈安全性

作為托管橋接資產(chǎn)的兩種方法，受信任橋接和去信任橋接都容易存在基礎(chǔ)面和技術(shù)面的缺陷。盡管如此，仍有一些方法可以防止和減少由黑客對(duì)區(qū)塊鏈的惡意破壞造成的影響。

在受信任鏈橋的情況下，很明顯需要增加所需簽名者的比例，同時(shí)還要讓多重簽名分布在不同的錢(qián)包中。盡管去信任的鏈橋消除了與中心化相關(guān)的風(fēng)險(xiǎn)，但仍然存在漏洞和其他技術(shù)限制的風(fēng)險(xiǎn)情況，如 Solana Wormhole 或 Qubit Finance 漏洞利用案例所示。因此，有必要實(shí)施鏈下行動(dòng)以盡可能保護(hù)跨鏈平臺(tái)。

協(xié)議之間的合作是很有必要的。Web3 空間的特點(diǎn)是其社區(qū)聯(lián)合性，因此讓業(yè)內(nèi)最聰明的人共同努力使該空間成為一個(gè)更安全的地方求之不得。Animoca Brands、Binance 和其他 Web3 品牌籌集了 1.5 億美元，以幫助 Sky Mavis 減少 Ronin 橋由于黑客攻擊的帶來(lái)的財(cái)務(wù)危機(jī)。通過(guò)共同努力協(xié)作可以為多鏈未來(lái)將互操作性提升到一個(gè)新的水平。

同樣，與鏈分析平臺(tái)和CEX的協(xié)調(diào)合作有助于追蹤和標(biāo)記被盜的Token。這種情況可能會(huì)在中期抑制犯罪分子的積極性，因?yàn)閷⒓用茇泿艃冬F(xiàn)為法定貨幣的網(wǎng)關(guān)應(yīng)該由已建立的 CEX 中的 KYC 程序控制。上個(gè)月，兩名 20 歲的年輕人在 NFT 領(lǐng)域?qū)嵤┰p騙后受到法律制裁。同樣應(yīng)該對(duì)已確認(rèn)身份的黑客要求同樣的懲罰才是公平的。

審計(jì)和漏洞賞金也是改善任何 Web3 平臺(tái)(包括鏈橋)安全狀況的另一種方式。Certik、Chainsafe、Blocksec 等認(rèn)證組織有助于使 Web3 交互更安全。所有鏈橋活動(dòng)都應(yīng)由至少一個(gè)認(rèn)證組織進(jìn)行審核。

同時(shí)，漏洞賞金計(jì)劃在項(xiàng)目及其社區(qū)之間創(chuàng)造了協(xié)同效應(yīng)。白人黑客在其他黑客進(jìn)行惡意攻擊之前識(shí)別漏洞方面發(fā)揮著至關(guān)重要的作用。例如，Sky Mavis最近推出了一項(xiàng)價(jià)值 100 萬(wàn)美元的漏洞賞金計(jì)劃，以加強(qiáng)其生態(tài)系統(tǒng)的安全性。

5.結(jié)論

激增的L1 和 L2解決方案作為整體區(qū)塊鏈統(tǒng)挑戰(zhàn)以太坊 Dapp的生態(tài)系統(tǒng) ， 它們激增催生了通過(guò)跨鏈在網(wǎng)絡(luò)之間移動(dòng)資產(chǎn)的需求。這是互操作性的本質(zhì)，也是 Web3 的支柱之一。

盡管如此，當(dāng)前的可互操作場(chǎng)景依賴(lài)于跨鏈協(xié)議，而不是多鏈方法， Vitalik在今年年初對(duì)這種情況發(fā)出了。盡管對(duì)空間互操作性的需求非常明顯，仍需要在此類(lèi)平臺(tái)中采取更強(qiáng)大的安全措施。

不幸的是，挑戰(zhàn)不會(huì)輕易克服。受信任和去信任的平臺(tái)都存在設(shè)計(jì)缺陷。這些固有的跨鏈缺陷已經(jīng)變得顯而易見(jiàn)。截至目前為止，在 12 億美元的黑客攻擊中損失中，超過(guò) 80% 通過(guò)有漏洞的鏈橋被盜取。

此外，隨著行業(yè)價(jià)值的不斷增加，黑客技術(shù)也變得越來(lái)越強(qiáng)大。社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)攻擊等傳統(tǒng)網(wǎng)絡(luò)攻擊手法已經(jīng)成為 Web3 過(guò)去的發(fā)展歷史了。

所有代幣版本都和每個(gè)區(qū)塊鏈本地相對(duì)應(yīng)的多鏈方法仍然很遙遠(yuǎn)。因此，跨鏈平臺(tái)必須吸取以往的經(jīng)驗(yàn)教訓(xùn)，加強(qiáng)流程監(jiān)管，盡可能減少黑客攻擊的成功性。