原文：TOM BLACKSTONE

编译：0xAR

据链上数据工具DefiLlama的信息显示，截至2月28日，跨链桥上锁定的资金已近100亿美元。过去随着黑客的频繁光顾和资金的大量损失，跨链桥的安全问题成为一个急迫的问题。

分析工具Token Terminal曾发布一份惊人的数据，仅2021年到2022年的时间，跨链桥上就有超过25亿美元的加密资产被盗，超出第二名两倍多。

尽管开发者不断尝试改善桥接的安全性，但从今年初Uniswap DAO论坛上展开的辩论来看，跨链桥仍暴露出不少的安全漏洞。

去年12月，去中心化交易所Uniswap的自治组织Uniswap DAO提议将Uniswap v3部署到BNB Chain上并选择一个跨链桥协议部署资金桥接。

结果随着讨论不断深入，成员们发现没有一个跨链桥协议能够满足所有人对资金安全的要求。

什么是跨链桥？

顾名思义，跨链桥就是桥接两条区块链的协议。通过跨链桥，两条链上的数据和资金就能够从这一条链走到另一条链。最简单的例子，借助跨链桥，用户可以把USDC从以太坊发送到币安智能链。

表面上看，资金是过桥了。但实际上，各条区块链包括以太坊和币安智能链都是封闭的，各自的网络架构和数据库都不同。本质上讲，转移前的USDC和转移后的USDC并不是同一个。

此话怎讲？

要实现资金的跨链转移，跨链桥的操作是这样的：还以上文为例，用户转移前，桥在以太坊这头会把USDC先锁起来，然后在用户点击转移之后，接着在币安智能链上再造一份同样数量的USDC资金。

如果用户要把资金转移回来，币安智能链就会销毁造出来的“USDC”，并把以太坊这边的USDC解锁。所以从原理上看，跨链桥并没有真的把USDC从这条链移到那条链。但从应用角度讲，这已经能满足绝大多数用户转移资金的目的了。

但桥也会出问题

跨链桥一头锁定资金，另一头铸造资金，一般由相关的验证者负责把关。但只要骗过任何一头的验证都可以窃取不菲的资金。比如，这头资金没有锁定，但在另一头却铸造了新的资金。或者在转移回来时，没有把原本的资金销毁，这一头资金却成功解锁。

也就是说，跨链桥被盗后不仅不丢失资金，反而凭空多出一份资金。比如币安链被盗。

又或者不骗验证者，而是直接偷验证者，因为用户锁定的钱就存在验证者管理的多签钱包中。Ronin跨链桥便是一个实例。

Ronin是区块链游戏Axie Infinity专门开发的侧链，方便玩家畅快游戏，但资金需要在以太坊上结算，所以跨链桥得以开发。

该跨链桥验证者为9个验证节点，验证交易时需要至少5个节点签名，即便单个节点被攻击，黑客仍然无法获得盗取资金。

结果，这9个验证节点中有4个验证节点的密钥掌握在Axie Infinity的开发者Sky Mavis手中，黑客在黑入Sky Mavis后，只攻击了剩余一个第三方节点就获得了验证权限，成功转移了钱包中价值6亿美元的加密资产。

甚至，在资金被盗多天后，Sky Mavis都还不知情。还是在用户报告提不了现时，Sky Mavis才大惊居然丢了6个亿。

新的跨链桥协议

依靠多签验证的跨链桥被一轮又一轮黑哭之后，终于有人开发出新的跨链桥项目。

Layer Zero

Layer Zero用两个服务器来代替桥两头的验证者。第一个服务器被称为 "预言机"。用户如果锁定资金，预言机就会把锁定资金的区块信息发到另一条要转移资金的链上。

第二台服务器被称为 "中继"。在用户确实锁定资金后，中继会向另一条链发送证明，也就是证明预言机说的没错，锁的资金确实是在那个区块里。

但是预言机和中继是相互独立的，不存在串通。这样一来，黑客便没有办法一步绕开验证盗取资金。

LayerZero使用Chainlink作为默认的预言机，并为应用开发者提供了默认的中继器，如果开发者愿意，甚至可以自定义开发这两种服务器。

Celer

Celer则用POS验证节点来验证加密资产是否锁定，直接采用权益证明网络来验证，只要三分之二的验证者认为用户锁定资金有效，验证即通过。

Celer联合创始人Mo Dong表示，该协议还提供了与optimistic Rollup类似的机制。交易需要经过一个等待期，期间只要有一个验证者持有的信息跟与三分之二的节点不一致，这笔资金转移就不会通过。

那谁能当验证者呢？Mo表示总共有21个验证者，这些验证者都是信誉很好的PoS验证者。是谁呢？是Binance、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX等。

Wormhole

Wormhole则是直接加人，5个不够就19个，靠这19个验证者来阻止欺诈交易，并且19个验证人中必须有13个人同意，资金转移才能进行。

Wormhole认为其网络更加分散，并且比同行拥有更多有信誉的验证者，其中就包括Staked、Figment、Chorus One、P2P等优质POS验证者。

Debridge

Debridge则是12个验证人组成的POS网络，并且只有8个人同意，资金转移才是有效的。而且试图通过欺诈性交易的验证人将受到惩罚。

Debridge的联合创始人Alex Smirnov表示，所有deBridge的验证者 “都是专业的基础设施供应商，验证了许多其他协议和区块链”，“所有验证者都承担着声誉和财务风险。”

安全和去中心化的质疑

但实际上，这些协议在Uniswap DAO的大讨论中，全都受到安全性和去中心化的质疑。

LayerZero将权力交给了应用开发者

LayerZero受到批评称就是一个变相的2人多签验证，而且还把验证权放在了应用开发者的手中。有人发现只要黑客控制了应用开发者的计算机系统，LayerZero上的预言机和中继甚至可以被规避。

另一些人则批评，中继能证明预言机的正确性，却无法证明中继的正确性，而且中继本身还是闭源的，更让公链项目方无法快速开发自己的中继器。

Celer安全模式也存在瑕疵

在最初的投票中，Uniswap DAO确实选择了Celer作为Uniswap的官方跨链桥。结果在测试时，Celer安全模式受到严重质疑。

测试方发现，Celer有一个可升级的MessageBus 智能合约，由五个多签验证者控制，而且黑客只要获得其中三个签名就可以控制整个协议。

Celer联合创始人Mo表示，该合约由4个机构控制分别是InfStones、Binance Staking、OKX和Celer Network。他认为，需要保留MessageBus合约，从而用于修复未来可能出现的漏洞，以防万一。

但这一点，显然不能让人完全信服。

Wormhole没有惩罚机制

Wormhole则是受到批评称没有机制惩罚作恶的验证者，而且据称其交易量比当初表示的交易量要低。

Celer创始人Mo Dong表示，Wormhole超过99%的交易来自Pythnet一方，去掉后再看，过去7天里每天只有719笔交易信息。

而DeBridge则很少有针对它的批评，不是因为本身很强，而是因为这项协议压根没人正眼看，大多数参与讨论的人都认为Celer、LayerZero和Wormhole才是主流。

进入选择跨链桥的白热化阶段后，Debridge团队开始主张采用多桥解决方案。

跨链桥到底能不能保证安全？

用户锁定资金常见操作是将资金打入到另跨链桥地址。如果将提款权交到验证者多签钱包手中，一旦不法分子获得多签钱包的控制权，就能在用户不知情的情况下提走代币。

本质上讲，这是变相的中心化，传达出的声音是让用户相信权威的人品，而不是去中心化的协议。

另一方面，采用权益证明的验证网络又是极其复杂的，完全有可能出现bug难以及时解决。而且，桥接在去中心化的网络中无法通过硬分叉修复，这也是Celer有所保留的原因。

所以跨链桥的开发者将继续面临权衡，是把升级交到可能被黑甚至作恶的权威手上，还是顶着无法修复漏洞的巨大压力，实现真正的但无法升级的去中心化。

目前，随着百亿美元的资金不断在跨链桥上积累，随着加密生态的发展，跨链桥如何在安全和去中心化上实现平衡，这一需求只会愈加迫切。