跨鏈治理之提案模型：麻雀雖小，五臟俱全！_PRO

前言

此文為BitXHub跨鏈治理系列第二篇：治理機制的提案模型。在上一篇《跨鏈治理之入門三問：WHOWHATHOW》中，我們介紹了跨鏈治理的總體架構和基本流程，實際上，治理流程基本都是圍繞提案展開的。中繼鏈上幾乎每一次的治理操作都會生成一個與當前操作相關的提案，提案雖小，但五臟俱全，它包含了治理過程中需要的所有關鍵信息、展現了治理流程的步步推進。

首先，提案模型具有精簡豐富的結構，囊括了治理過程中需要的各類信息；其次，提案的生命周期伴隨著治理流程的推進而變化；此外，提案模型針對不同治理時間設置了不同的優先級，以進一步優化治理流程。接下來，就讓我們圍繞提案結構、提案生命周期、提案優先級策略這三大模塊來一一解剖「提案模型」。提案結構

當跨鏈平臺上產生治理服務范圍內的業務時，中繼鏈一般會自動生成一個由業務發起人提交的相應類型提案，以供中繼鏈管理員進行投票治理。提案結構基本涵蓋了治理需要的所有關鍵信息：

OPNX：OX流動性池已上線跨鏈橋Stargate:7月20日消息，加密索賠和交易平臺OPNX在推特上宣布，其平臺幣OX流動性池現已在基于LayerZero的跨鏈橋Stargate上線，支持用戶在以太坊、BNB Chain、Polygon和Arbitrum之間橋接OX。[2023/7/20 11:06:40]

提案id：與提案發起人賬戶地址綁定，作為提案的唯一標識；提案類型：標識提案所屬的治理服務類型，如應用鏈管理、驗證規則管理等；事件類型：標識提案中發生事件的類型，如注冊、更新等；提案狀態：與提案的生命周期對應，有proposed、approved、rejected等狀態；投票信息：包含了該提案當前收到的投票信息、計票信息、超管投票信息等，便于推進提案的投票計票流程；選民信息：包含了該提案面向的選民列表以及當前可用選民數、最低投票選民數等信息，便于推進提案的投票計票流程；治理對象信息：包含了治理對象的id及其提案發起前狀態，記錄發起前狀態是為了便于投票拒絕時的狀態恢復；狀態轉換說明：包含了提案的提交理由、結束理由、撤回理由等信息，便于相關人員了解提案的狀態轉換原因；提案鎖定信息：與提案優先級策略相關的鎖定信息；擴展項：可選項，可附加提案需要的相關信息，如更新提案可以添加更新前后對象的信息對比明細。提案生命周期

去中心化多鏈跨鏈交易平臺Chainge Finance推出ARB看跌期權:3月21日消息，去中心化多鏈跨鏈交易平臺Chainge Finance推出了ARB看跌期權，讓用戶能夠提前鎖定賣出價格，購買行權價為2美元的ARB看跌期權。除此之外，用戶還可以用TF-USDT發行看跌期權來達到賣出ARB-PO鎖定買入價格的效果，例如ARB開盤后價格并沒有達到2美元，用戶發行的ARB看跌期權被行權后將自動獲得成本價2美元的ARB現貨，然后ARB的市場價格若上漲至6美元，用戶在DEX中賣出后即可獲得近3倍的收益。另外，Chainge為用戶提供了高達235%年化收益的ARB-PO/USDT的流動性池。簡而言之，用戶可以在空投之前利用Chainge的ARB看跌期權來提前獲得套利收益。

作為一個去中心化多鏈跨鏈交易平臺，Chainge提供了自托管跨鏈錢包、去中心化托管交易、去中心化期貨交易以及第一個去中心化期權交易等一系列加密交易工具。這些工具能夠幫助用戶提高加密貨幣的安全性，并且方便進行加密資產的管理和交易。[2023/3/21 13:17:05]

提案的生命周期展示了一次治理操作的全流程。提案創建后一般會經歷proposed、approved、rejected三個狀態，特殊情況下還可能出現pause狀態。其生命周期具體如下圖所示，具體而言，提案生命周期可以分正常投票、撤回、優先級鎖定三種情況。

Beosin：黑地址FTX Accounts Drainer已對大額資產進行兌換轉移跨鏈等操作:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止2022年11月15日，黑地址FTX Accounts Drainer(0x59AB...32b)已對大額資產進行兌換轉移跨鏈等操作。

目前大部分資金位于賬戶FTX Accounts Drainer的ETH平臺，約228,523 個ETH($288,934,108)和8,184 個PAXG($14,395,174)。BSC平臺約108,454 個BNB($29,962,644) 和1,685,309 個DAI($1,686,562) 。

其他部分資金位于ETH上的FTX Accounts Drainer 2賬戶上，約1999.4 個PAXG($3,516,404)，FTX Accounts Drainer 3賬戶上約499 個PAXG($878,114)，FTX Accounts Drainer 4賬戶上約499 個PAXG($878,114)，其它鏈上的資產目前尚無異動，Beosin Trace將持續對黑地址異動進行監控。[2022/11/16 13:09:37]

安全團隊：跨鏈DEX聚合器Transit Swap因任意外部調用問題被黑，被盜資金規模超2300萬美元:10月2日消息，據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1. 當用戶在Transit Swap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。

5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。

截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。[2022/10/2 18:37:27]

正常投票

去中心化內容發布平臺Mirror創始人提出跨鏈資產的新方法:3月26日消息，去中心化內容發布平臺Mirror創始人Denis Nazarov發文提出新的Layer2橋接方案Bridge Pass。Denis Nazarov表示，現有的Layer2橋接方案存在慢、手續費貴、操作麻煩等弊端，這些弊端無疑提高了Layer2的采用門檻，而Bridge Pass旨在讓橋接變得更加有趣而易于使用。

據悉，Bridge Pass以禮品卡為靈感，使用NFT技術，需要橋接資產的用戶可在Layer1網絡上購買相應價格的NFT，NFT將在鑄造時自動將資產跨鏈至Layer2網絡。[2022/3/26 14:18:52]

正常投票的提案提出后進入投票階段，即proposed狀態，通過投票表決進入到終止階段，即投票通過為approved狀態，投票不通過為rejected狀態。

撤回

提案在投票階段進入proposed狀態后，可能會被撤回，撤回又分為主動撤回和被動撤回。

1）主動撤回是提案發起人有機會在提案未結束前發起撤回操作，提案進入終止階段轉換為rejected狀態；

2）被動撤回是提案因為系統原因被迫終止，主要有以下兩種觸發條件：

治理對象被系統清空。比如當一條應用鏈被注銷后，該應用鏈相關的服務都會被系統自動注銷清空，那么這些服務相關未完成的提案也就會被系統撤回進入終止階段；投票選民人數不足。每個提案面向的投票選民是提案生成時中繼鏈上所有處于可用狀態的治理管理員，在提案進行的過程中，可能有部分管理員被凍結或注銷進入不可用狀態，這就有可能會導致提案收到的選票數達不到最低門檻值，當發生這種情況時，提案也會被系統自動撤回。優先級鎖定

優先級鎖定與提案的優先級策略有關，將在下文進行詳細闡述。

根據以上幾種情況的描述，我們會發現治理提案有多種不同的結束場景，為了便于發起人或管理員清楚了解提案結束的原因，提案結構的狀態轉換說明信息中有一個提案結束理由字段將給出說明，該字段會在提案結束時由系統自動填充。

提案優先級策略

優先級設置

基于提案的治理事件屬性以及提案對跨鏈系統的影響范圍考慮，BitXHub治理機制對不同治理事件的提案設置了優先級如下圖所示：

不同的管理對象都可能發生注銷、凍結、更新等治理事件，發起這些治理事件提案的同時，系統默認為這些治理提案設置了提案優先級。

優先級鎖定機制

我們的提案優先級策略主要基于一個原則：同一管理對象，同一時間只會存在一個進行中的提案。

實現以上原則的前提是，提案的優先級比較都是針對同一管理對象的，也就是相關聯的提案才會有優先級比較，應用鏈注銷和應用鏈更新是相關的提案，注銷的優先級更高，不相關的提案，比如一個應用鏈注銷的提案，是不會對節點更新提案產生任何影響的。

在滿足同一管理對象的前提下，實現上述原則的核心就是提案的優先級鎖定機制：高優先級提案進行中時，不可以發起低優先級提案，但低優先級提案進行時，可以發起高優先級提案，并高優先級提案的發起會鎖定低優先級提案的進行。具體的鎖定方式如下圖所示：

當某個提案處于proposed狀態投票階段時，若出現更高優先級的提案，那么當前低優先級的提案會暫時進入鎖定階段，轉換為pause狀態，此時管理員無法對低優先級的提案進行處理——高優先級的提案如果通過可能會對當前管理對象產生重要影響，比如一個應用鏈注銷的提案如果投票通過，那么同時進行的低優先級的應用鏈更新提案就沒有必要再繼續進行，此時低優先級提案的鎖定狀態就避免了可能出現的管理員無意義投票以及系統無意義執行。

如果高優先級提案投票通過，管理對象狀態被改變，低優先級提案就失去了原本的意義，系統會直接結束低優先級提案；如果高優先級提案投票不通過，管理對象狀態沒有發生變化，低優先級提案恢復原先的proposed狀態再次進入投票階段。

必要條件約束

為了進一步保證高優先級提案處理的合理有效性，我們還對高優先級提案設置了一個額外的約束條件：針對高優先級的提案，包括非常緊急和緊急的提案，提案的通過除了需要普通管理員投票通過外，還需要得到系統超級管理員的投票。這一約束保證了高優先級提案能被及時處理的同時，還能得到更嚴謹合理的處理。

總結

如果說“提案模型”是“一只靈巧的麻雀”，那么“提案結構”就是“它的五臟六腑”，記錄了治理流程中需要的各類信息；“提案生命周期”就是這只“麻雀生老病死的流程”，體現了治理流程中各個階段的推進；“提案優先級策略“則是這只“麻雀的思想和靈魂”，讓它可以更好地走完這一生——在治理機制中，就是協助管理員和系統對于同一個管理對象只能處理最高優先級的提案，保證BitXHub治理提案投票的便捷有效性和提案執行的合理高效性，從而保證治理流程能夠更加方便高效地進行。

但需要注意的是，并非治理機制中所有的治理操作都需要提案模型，一些優先級極低的治理操作可能是不需要提案的，比如更新應用鏈描述，應用鏈的描述只是一個展示信息，并不需要中繼鏈治理管理員的嚴格審核，這種情況下，應用鏈管理員提交更新請求后即可直接更新，并不會有提案產生。

五臟俱全的提案模型承載著每一次治理流程的行進，也真正賦予BitXHub跨鏈治理機制以核心動力。但僅有動力還是不夠的，治理的靈魂在于投票決策的公平合理，那么BitXHub治理又是如何做到這一點的呢？在本系列的后續篇章中，我們將繼續對治理機制的投票策略給出詳細說明。

Tags：AINARB應用鏈PROvmschainARB價格Fire Protocol

區塊鏈