比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

一文探討5個消息跨鏈項目的安全機制_AIN

Author:

Time:1900/1/1 0:00:00

原文作者:Ailsa

多鏈生態的繁榮催生了用戶對跨鏈的需求。鏈與鏈之間的跨鏈交互的日益增加,但與此同時跨鏈安全事件頻頻發聲,跨鏈安全成為市場關注的焦點。根據成都鏈安等聯合發布的《?2022?年全球Web3區塊鏈安全態勢報告及加密行業監管政策總結》,?2022?年Web3領域因各類攻擊造成的總損失達到了?36?億美元,其中跨鏈應用安全事件造成的損失占比?52.5%?,居所有項目類型損失第一位。

根據公開數據整理,?2021?年和?2022?年共發生?25?起跨鏈應用安全事件,?19?個跨鏈橋項目遭到攻擊,總損失額達到?26.46?億美元。黑客攻擊導致損失上億美元的跨鏈項目包括?RoninBridge、PolyNetwork、BinanceBridge、Wormhole、Nomad、HarmonyBridge(Horizon),損失金額分別達到了?6.24?億美元、?6.11?億美元和?5.7?億美元、?3.26?億美元、?1.9?億枚美元和?1?億美元。

圖?1損失金額排名前?10?的跨鏈項目

通常情況下跨鏈項目匯集了大量資產,所擁有的?TVL遠遠超過一般的區塊鏈協議,這就使得跨鏈項目很容易成為黑客攻擊的首選目標。跨鏈的安全性至關重要。

安全性不僅來源于跨鏈解決方案本身帶來的安全性,還根植于項目決策者為預防和防控安全危機的發生所設計的安全政策。

當前市場對跨鏈的需求主要面向數字資產,但跨鏈不僅局限于資產的轉移和交換,隨著區塊鏈承載的職能越來越豐富,區塊鏈的跨鏈一定會從當前的資產跨鏈,發展到消息跨鏈和功能跨鏈,從單一類別數據的跨鏈發展到通用數據的跨鏈。

目前市場已有跨鏈項目開始布局消息跨鏈領域。如Axelar、CelerNetwork、Layerzero、Multichain、Wormhole、ChainlinkCCIP、PolkadotXCMP?以及CosmosIBC?等。由于?ChainlinkCCIP?的開發開發仍在進行中,PolkadotXCMP?以及CosmosIBC?主要適用于同構區塊鏈之間的跨鏈,因此本文主要對?Axelar、CelerNetwork、Layerzero、Multichain?和?Wormhole?這?5?個更具有拓展性的消息跨鏈項目進行安全性相關內容的梳理和總結。

一、跨鏈解決方案帶來的安全性

跨鏈技術主要解決的是不同區塊鏈之間資產或者信息無法交互的問題。一筆跨鏈流程由多個不同區塊鏈交易組成,分別運行在不同的區塊鏈系統,由于不同鏈之間存在共識機制、規則等差異,因此在跨鏈過程中,需要對跨鏈的內容進行驗證,以保障跨鏈過程中的安全性。

跨鏈安全屬性與跨鏈橋的去信任化水平息息相關,去信任水平體現在跨鏈項目如何驗證起始鏈狀態以及將交易傳輸到目標鏈過程中。每個跨鏈解決方案都有自己的安全和信任機制。

1.Axelar

Axelar?是一個旨在為WEB3提供安全跨鏈通信的通用覆蓋網絡,?2022?年?5?月,Axelar在其主網上啟動了通用消息傳遞。通過Axelar通用消息傳遞功能,可以跨所有鏈啟用多對多通信,允許用戶組合DeFi功能、移動代幣和NFT,以及在各種生態系統的dApp之間執行任何類型的多鏈調用。Axelar通過部署多層防御來解決復雜的網絡安全問題。其安全堆棧始于?POS?共識和多樣化的節點技術堆棧。

安全公司:Sentiment黑客若在規定之間內歸還盜取資金,將獲9.6萬美元報償:金色財經報道,據CertiK援引鏈上消息披露,一小時前有人給Sentiment黑客發送鏈上信息,鏈上信息概述如果在4月6日上午8點前盜取資金,將獲得9.5萬美元的報償。反之,如果沒有歸還,獎金將給那些提供黑客信息的人。

此前報道,DeFi借貸協議Sentiment今日凌晨在Arbitrum網絡被盜約100萬美元,官方目前正在調查從Sentiment協議中盜取資金的可起訴行為。Sentiment已經采取措施找出漏洞的根本原因,并減少進一步的協議濫用。此外,還表示其首要任務是是確保剩余資金的安全,追回損失的資金。[2023/4/5 13:45:54]

圖?2Axelar技術堆棧圖

Axelarnetwork?本身是一條基于?Pos?共識的L1區塊鏈,Axelar?由去中心化網絡的驗證人、安全網關合約、統一翻譯、路由架構以及一套適用于協議和應用的編程接口組成。

Axelar?通過其網絡的驗證者運行不同鏈的節點獲取并同步各個區塊鏈系統中的狀態信息。驗證者由Token持有者選舉產生,并按比例獲得投票權,投票權重由委托權益加權計算得出。目前?Axelar網絡已經激活的驗證者有?70個,并且必須獲得超過66.67%的多數投票才能簽署消息。

此外,投票權偏斜會降低PoS系統的安全性。Axelar為?PoS?為緩解驗證者的不均衡性問題,防止投票權利過于集中,采用了二次方投票的方案,簽名權重將與驗證人質押的Token?數量的平方根成正比。當驗證者不斷增加質押數量,投票權累計變得更加困難。

2.CelerIM

CelerIM是?CelerNetwork?面向開發者的工具和基礎設施,cBridge?可以看作是建立在?CelerIM?上的資產橋梁。

Celer為所有用戶設置了雙重安全保障。

首先是?cBridge的安全由?StateGuardianNetwork保障。SGN?是一個基于?tendermint?的?PoS?區塊鏈,CelerNetwork旗下的其他產品,包括?cBridge和CelerIM,在跨鏈交易中都高度利用了SGN的PoS安全性、快速確認和低成本的特征。

SGN有21個驗證者,一條信息必須由?2/3?的驗證者批準,想要成為?SGN?的驗證者需要質押代幣?CELER。此外?Axelar?設置了質押和罰沒機制。如果驗證著出現故障或者被惡意破壞,將承擔罰沒的風險,質押?CELR?的數量越多,網絡越安全。

目前,Celer狀態守衛者網絡?2.0已成功升級。相較于?SGN?1.0?,SGN?2.0?著重優化了其從交易中捕獲價值的能力:對于?cBridge?而言,SGN?捕獲的價值基于其在?cBridge?資金池模式中每次處理交易量的大小;對于?CelerIM?而言,價值捕獲基于跨鏈消息的大小。

中間延遲是Celer為?Dapps?專門設置的一個額外保障。即使大部分?SGN?被黑,如果沒有資產真實發送,Celer?可以通過中間延遲的方式打斷在目標鏈上的鑄造,Dapps?可以在延遲的抉擇上做出不同的選擇與權衡。在這個延遲期間,dApps?可以實現或委托?SGN?節點作為一個監護人服務,對消息進行雙重認證,在這個過程中監護人需要保持誠實和功能。

3.Layerzero

LayerZero是一種全鏈互操作性協議,專注于鏈與鏈之間的數據消息傳遞?LayerZero?也是一個傳輸層協議,并沒有應用層,LayerZero?的架構主要包含端點,中繼節點和預言機。

加密貨幣和外匯交易平臺EminiFX CEO承認犯有2.48億美元的欺詐罪:2月13日消息,美國司法部 (DOJ)于2月10日宣布,加密貨幣和外匯交易平臺Alexandre對一項商品欺詐罪認罪,并將支付超過2.48億美元的沒收款項以及數百萬美元的賠償金(具體金額暫未確定)。Alexandre于2022年5月因在EminiFX中的角色被捕并受到指控,最初不認罪,但在2月10日改變了認罪。他將面臨最高10年的監禁。關于其刑期的判決將由法官在當地時間7月12日決定,

據悉,Alexandre此前向投資者承諾在5個月內將資金翻倍,并承諾每周獲得5%的回報,以此引誘投資者參與他的計劃;然而Alexandre只投資了一小部分用戶資金,其余的錢要么花在了自己身上(將數百萬美元存入個人銀行賬戶,并大肆購買了一輛新寶馬),要么花在了與業務相關的費用上(包括租用辦公室和聘請律師)。如果沒有認罪協議,Alexandre將面臨最高30年的監禁。(Cointelegraph)[2023/2/13 12:03:54]

圖?3Layerzero的通信過程

LayerZero通過將消息及消息證明傳遞和驗證Relayer傳遞交易兩者做分割,確保跨鏈過程的安全。Relayer負責傳遞消息及消息證明,Oracle負責根據消息所在區塊,按需從源鏈獲取區塊頭,然后目標鏈上的終端根據Oracle獲取的區塊頭驗證Relayer傳遞的交易。layerzero?對區塊頭本身的驗證由作為外部驗證人的第三方Oracle網絡來完成的,驗證過程發生在鏈下,本質上仍是需要信任第三方的一種行為。此外?Layerzero?跨鏈消息的有效傳送需要其中繼節點和預言機互相獨立,需要假設預言機和中繼器之間不竄在惡意的勾結。

4.MultichainanyCall

Multichain?的前身是?Anyswap,是一個專注于跨鏈賽道的基礎設施,致力于成為Web3的終極路由器。anyCall?是?Multichain?在其?Bridge?和?Router產品基礎上抽象出的新一代綜合消息跨鏈交互協議。

Multichain?的跨鏈技術方案采用了安全多方計算解決方案,通過獨有的密鑰分片技術,密鑰分片分布在不同的節點上,每個節點獨立擁有部分私鑰,完整的私鑰在整個?MPC?網絡生命周期內都不會出現,通過?SMPC?安全多方計算+TSS?門限簽名技術,確保密鑰生成、存儲和驗簽的全程安全,并在這種安全保證基礎上實現節點之間的互操作。

根據?anyCall?白皮書內容,anyCall?由位于下層的鏈外信任機制和上層的部署在鏈上的調用/觸發?API?組成。其中由鏈外信任機制負責對源鏈“消息”鑒證共識,并按照指定的邏輯執行目標鏈尋址,并構建相應操作。

圖?4anyCall?技術架構

底層?fastMPC?去中心化的信任機確保了?anyCall?的綜合消息跨鏈交互協議的去中心化屬性。目前?Multichain?網絡由21?個節點組成,由不同的機構運行,并且需要大多數節點來共同驗證消息。Multichain?的安全性依賴于節點的聲譽。SMPC節點成員不需要質押,且相對固定,AnyCall的安全建立在對SMPC節點的信任假設基礎上。

目前?Multichain?已經將底部信任層從SMPC網絡升級到了?fastMPCNetwork。fastMPC?節點的執行速度比原有的?SMPC1.0快4-5倍,是更快速、更流暢的跨鏈解決方案,同時由于?fastMPC?向社區公眾開放,這種開放式的模式去中心化優勢更加突出。

以太坊賬戶抽象提案EIP-4337新增簽名聚合,可為rollups降低數據成本:10月3日消息,據以太坊創始人V神(Vitalik Buterin)近日發布的推文,其于2021年9月聯合發起的以太坊賬戶抽象提案EIP-4337近期發布了新版本,添加了包括BLS簽名算法的簽名聚合。簽名聚合功能能夠讓構建者和批次提交者也能聚合簽名(例如BLS、SNARKs),大大減少了鏈上的數據。

V神表示,ERC-4337為賬戶抽象提供了真正有價值和必要的東西,可為使用智能合約錢包的用戶操作提供“去中心化費用市場”。我們正在慢慢精準實現賬戶抽象的實際路徑,本次發布新增的簽名聚合功能可以為rollups降低數據成本,這也將成為采納ERC-4337的動力之一。

據悉,賬戶抽象(Account Abstraction)是通過省略以太坊賬戶體系中不必要細節,來減少復雜性并提高有效性有效地(消除了對EOA的需求和對智能合約錢包的特殊處理)。[2022/10/3 18:38:21]

5.Wormhole

Wormhole是一種通用的消息傳遞協議,Wormhole的信任層采用?PoA機制構建,由一組受信任的?Guardians負責鏈間消息的驗證、傳輸和處理從一個區塊鏈到另一個區塊鏈的消息。Guardians是特定的具有資本背書和聲譽背書的主體,包括JumpCrypto、Everstake和ChorusOne等知名機構。目前守護者網絡有?19?名守護者,守護者負責?Wormhole?網絡上的交易驗證,2/3?的守護者需要共同驗證,一旦共識達成,證明將會發送至目標網絡進行交易或者特定合約執行。

圖?5跨鏈解決方案帶來的安全性

值得說明的是,基于?SMPC?的跨鏈方案和多重簽名方案相比更具有去中心化的特性。多重簽名方案需要驗證者擁有完整的私鑰對交易進行簽署,而在基于?SMPC?的方案中,整個密鑰管理周期內,完整的私鑰從未真正出現過,驗證時并不獨立擁有完整的私鑰,簽名確認交易只需湊齊幾個私鑰分片的簽名即可,不存在泄露完整私鑰的問題。

二、安全事件應對政策

跨鏈項目自身的跨鏈解決方案不意味著可以規避所有的風險,為積極防范和應對安全風險需要增加其他安全政策。安全政策的設計可以為用戶提供更加強大的安全保障,安全政策應貫穿安全事件發生前、發生中和發生后。

安全事件發生前:這個階段項目可能存在安全隱患,但沒有被發現或利用。項目按照事先確定的安全政策開展項目的安全性運營。

安全事件發生中:這個階段安全事件正在發生,但項目方可能還未察覺,采取何種措施讓項目及時發現該安全事件非常重要。

安全事件發生后:這個階段可能涉及資產損失,項目在知悉攻擊發生且了解到漏洞存在后需要進一步采取的措施以減少攻擊波動的范圍,避免造成更多的損失出現。用戶補償方案的確定,如何更快地讓業務恢復正常運營以及反思安全過程中存在的問題并提出進一步的安全保障機制,也發生在這一階段。

1.Axelar

Axelar?的安全事件應對政策主要集中在安全事件發生前,主要要措施包括進行安全審計,開啟漏洞賞金、頻繁的密鑰輪換和進行速率限制。

安全審計。目前?Axelar?的安全審計覆蓋涵蓋其核心協議、智能合約、密碼庫、前端和后端代碼等,從?2021?年?8?月到?2022?年?8?月,Axelar?已進行?27?余次審計,審計機構包括?AckeeBlockchain、Chaintroopers、Certik?等。詳見https://github.com/axelarnetwork/audits。

灰度比特幣持倉量降至2021年初水平:金色財經報道,據OKLink數據顯示,自2022年年初至今灰度已減持近1萬枚BTC,當前灰度比特幣持倉量已降至2021年初水平,持有超63.5萬枚BTC,占總供應量的3.32%。此前消息,灰度比特幣信托負溢價率達35.3%,創歷史新低。[2022/9/27 22:33:01]

漏洞賞金。自?2022?年?3?月?10?日開始,Axelar?與?Immunefi?的合作,設立了最高?225?萬美元的賞金計劃,詳見https://immunefi.com/bounty/axelarnetwork/。Axelar?還在其官方文檔中,明確了提交漏洞的方式,但是通過提交至security@axelar.network的漏洞,Axelar?明確表示最高獎勵?100美元詳見https://docs.axelar.dev/bug-bounty。

頻繁的密鑰輪換。攻擊者可能會嘗試通過依次破壞驗證器來積累惡意密鑰密鑰輪換可以保護?Axelar?網絡免受頑固的攻擊者的攻擊。

速率限制。Axelar的ERC-20合約具有速率限制功能,Axelar?可以對在給定時間間隔內可以傳輸多少資產設置上限。這可以最大限度地減少攻擊,能減少攻擊時可能被盜的資金數量。

2.CelerNetwork

CelerNetwork?的安全事件應對政策主要集中在安全事件發生前和安全事件發生中。

安全事件發生前?Celer?的主要要措施包括進行安全審計、開啟漏洞賞金、搭建風控系統、應用層限流、?24?小時監控和主動前端和DNS完整性檢查。

安全審計。針對Cbridge,Celer?目前只進行了?3?次審計,合作的審計機構為?CertiK、PeckShield?和?SlowMist。詳見https://cbridge-docs.celer.network/reference/audit-reports。針對?Celer?IM,Celer?目前進行了?2?次審計,合作的審計機構為?PeckShield?和?SlowMist。詳見https://im-docs.celer.network/audit-reports。

漏洞賞金。自?2021?年?11?月?18?日,Axelar?與?Immunefi?的合作,設立了最高?200?萬美元的賞金計劃。詳見https://immunefi.com/bounty/celer/。

搭建風控系統。通過風控系統可以監控橋的整體流動性,資產信息以及變化。

限流功能。Celer?在應用層設置的安全屏障,使單位時間內不能超過某一個特定的閾值,超過了會順延時遞。

?24?小時監控機制。可第一時間發現可疑問題。

主動前端和DNS完整性檢查。這是?Celer?針對?2022?年?8?月發生的攻擊事件添加的功能,以防止類似事件再次發生。

在發現安全事件的過程中,根據慢霧安全團隊對?2022?年?8?月對?cBridge跨鏈橋事故真相的分析,可以發現除了自身的?24?小時監控機制,Celer?聯合了慢霧安全團隊。詳見https://mp.weixin.qq.com/s/SInU_o?3?Ct-7?A?6?pFbKLqzHQ。

3.Layerzero

Layerzero?的安全事件應對政策主要集中在安全事件發生前,主要要措施包括進行安全審計和開啟漏洞賞金。

安全審計。LayerZeroLabs表示其已經委托了35次以上的審計,但?LayerZero在代碼部署方面相對不透明,且其安全審計內容在其?Github?上也不能公開查詢,詳見https://github.com/LayerZero-Labs/Audits。

美聯儲會議紀要:所有美聯儲官員都支持要開始縮表計劃:金色財經報道,美聯儲會議紀要顯示,許多官員認為,在政策收緊之后,今年晚些時候將會有良好的經濟情況,大多數美聯儲官員支持在接下來的幾次會議上加息50個基點,所有美聯儲官員都支持要開始縮表計劃,幾位美聯儲官員指出美國國債市場流動性面臨風險,美聯儲所有與會者都認為美國經濟“非常強勁”,勞動力市場“極其緊張”,通脹“非常高”。(金十)[2022/5/26 3:41:56]

漏洞賞金。在?layerero?官方文檔中表示將設立最高賞金為?1500萬美元實時漏洞賞金計劃,并給出了報告提交地址。詳見?https://layerzero.gitbook.io/docs/bug-bounty/bug-bounty-program。

此外,LayerZero曾在?2022?年?4?月宣布與Immunefi合作,設立?1500萬美元漏洞賞金計劃。但迄今為止在?Immunefi?平臺上仍未能檢索到改項目。

4.Multichain

2022?年?8?月,Multichain?算法&安全官XChang?曾在其官方博客中明確提到Multichain?的安全策略,以黑客攻擊事件發生的時間點分為三個階段,即:發生前,發生時,發生后,且每個階段都有對應的應對步驟與策略。

安全事件發生前的安全措施包括安全公司審計與內部開發者審計、開啟漏洞賞金、安全事件輿論監測和跨鏈金額限制及鏈資金流量和總量限制。

全公司審計與內部開發者審計。截至目前,Multichain累計進行了大量外部審計,外部審計的合作伙伴包括BlockSec、Certik、Dedaub、PeckShield、SlowMist、TrailofBits、Verichain?等多家知名機構。Multichain上線的anyCall、RouterV?7、VeMulti、MultichainV?6、Threshold-DSA、V?5?ERC?20、CrossChain-Bridge等產品都經歷了嚴格的外部審計。詳見https://github.com/anyswap/Anyswap-Audit/。同時?Multichain?團隊設置了周期性的內部審計會議,至少為每月?1?次。

漏洞賞金。Multichain?運行著兩個漏洞賞金計劃,首先是自?2022?年?3?月?16?日起,Multichain?正式與?Immunefi?建立合作,設立了最高?200?萬美元的賞金計劃,且根據提交漏洞的嚴重程度具體分析,賞金上不封頂。詳見https://immunefi.com/bounty/multichain/。此外?Multichain?還提供了一個可選擇的漏洞賞金方案,Multichain?將為符合條件的漏洞發現提供最高?100?萬美元的獎勵。詳見https://docs.multichain.org/getting-started/security/bug-bounty-alternative。

安全事件輿論監測。通過設置關鍵詞在主要媒體平臺進行輿論監測,以期第一時間能夠獲取到行業內最新發生的安全事件,并舉一反三,反思?Multichain?產品是否存在有類似的問題,及時作出事件應對反應。

跨鏈金額限制及鏈資金流量和總量限制。對于大額資金的跨鏈交易,平臺采取延遲到賬的規則。對于新開發鏈或安全評級略低的鏈,限定在某一時間段內,跨入或跨出的總量限制在一定范圍內。

安全事件發生中的安全措施包括鏈上異常情況監測和調動社區、DAO的力量,反饋平臺產品的異常行為。

鏈上異常情況監測。通過設置了一系列鏈上監測策略?Watchdogs,希望及時監測到數據異常行為。

調動社區、DAO?的力量,反饋平臺產品的異常行為。分調用社區用戶、DAO?的力量,對?Multichain?產品的異常情況進行反饋,團隊在分析異常行為驗證后做出及時響應措施。

安全事件發生后的安全措施包括暫停所有相關平臺產品以及安全基金兜底用戶資產風險。

暫停所有相關平臺產品。第一時間了解到漏洞存在后,及時、有效的關閉產品。

安全基金兜底用戶資產風險。Multichain?設置了安全基金,約定將跨鏈手續費的?10%?拿出,用以補償用戶在特殊情況下受到的資金損失,給平臺用戶的資產帶來安全保障。Multichain?安全基金于?2022?年?3?月設立,截至?2023?年第一季度,Multichain?安全基金已累計金額超?144?萬美元。具體安全政策詳見https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde?0397?accf?5?。

5.Wormhole

Wormhole?的安全事件應對政策主要集中在安全事件發生前和安全事件發生后。安全事件發生前的安全措施包括安全審計、開啟漏洞賞金、社交媒體監控、設置異構監控策略和推出?Governor?功能。

安全審計。Wormhole?也非常重視安全審計,與Certik,Coinspect,Hacken,Halborn,Kudelski,Neodyme,OtterSec,TrailofBits,Zellic?展開安全審計方面的合作。詳見https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116?ecfb?91?。

漏洞賞金。Wormhole項目也運行兩個漏洞賞金計劃,首先是自?2022?年?2?月?11?日開始與?Immunefi?的合作,設立了最高?250?萬美元的賞金計劃。詳見https://immunefi.com/bounty/wormhole/。另外也可在其官網上瀏覽相關信息并提交報告。詳見?https://wormhole.com/bounty/。另外?Wormhole?提供了使用?Wormhole的策略列表,這可以降低白帽黑客在Wormhole中發現安全漏洞的門檻。

社交媒體監控。Wormhole?維護著一個社交媒體監控程序,以便Wormhole項目獲悉依賴項中的漏洞可能會對Wormhole、其用戶或Wormhole所連接的鏈產生負面影響。

設置異構監控策略。Wormhole在Guardian中設置異構監控策略,增加檢測欺詐活動的可能性。Wormhole期望所有守護者都開發和維護自己的安全監控策略。

推出?Governor?功能。創建和部署此功能的核心原因是幫助防范智能合約或L1妥協的存在風險。此功能允許WormholeGuardians具有可選功能,可以在每條鏈的基礎上對任何已注冊的資產的名義價值流量進行速率限制。

Wormhole?在安全事件發生中的安全措施不明確,但是在?2022?年?2?月的?Wormhole?攻擊事件是蟲洞網絡貢獻者在例行檢查中注意到未償資金的差異,并立即開展調查確定的漏洞。

安全事件發生后的安全措施包括建立事件響應機制和緊急暫停。

事件響應機制。Wormhole?維護著一個事件響應程序,以響應對Wormhole、其用戶或其連接的生態系統的漏洞或活動威脅。

緊急暫停。Wormhole項目評估了具有安全功能的概念,允許Wormhole智能合約在存在危機狀態期間暫停而無需合約升級。

此外,在針對?2022?年?2月2日遭黑客攻擊事件發布的報告中,Wormhole提到將進一步加強跨鏈消息傳遞和橋接的安全措施,主要包括隔離各個鏈風險的會計機制、動態風險管理、持續監控和早期發現事件。

三、更去信任化的方案探索

目前跨鏈市場上驗證方式可以分為三種,即原生驗證、本地驗證和外部驗證。這三類驗證方式都有自身的局限性,難以兼顧去信任化、可拓展性和通用性。

外部驗證方案是通用性非常高且可擴展的跨鏈計算方案,可以支持更復雜的跨鏈應用。本文中所提到的?Axelar、CelerNetwork、Layerzero、Multichain?和?Wormhole?都屬于外部驗證者一類,他們可以在鏈下完成驗證,可拓展性較高,能覆蓋不同技術架構的區塊鏈,并且可以實現通用的消息跨鏈。但是由于用戶必須信任這一組外部節點構成的中繼網絡,其在安全程度上要弱于無需信任的本地驗證和原生驗證方案。

最安全的跨鏈橋設計應該是最小化信任。但目前市面上存在的原生驗證方案,如?Hop?和?Connext?通用性差,不適用于通用消息跨鏈,CosmosIBC?和?PolkadotXCMP這類原生驗證方案可拓展性較弱,更多適用于同構區塊鏈,難以兼容?Ethereum、Solana等眾多異構鏈。

ZKP技術則為安全的跨鏈通信帶來了新的路徑。ZKP?跨鏈作具有去信任化,通用性強,成本低等優勢。相對于目前通過信任第三方實現的跨鏈通信的跨鏈方案,ZKP?跨鏈不引入任何信任假設,用戶只需要信任源鏈共識和目標鏈共識,屬于原生驗證方案一類。而且?ZKP?通過生成簡潔的?ZKP?證明,減少?Gas?費用的需求,使得目標鏈可以高效地驗證目標鏈交易,鏈上驗證成本降低。

HyperOracle、Succinct、Nil.foundation?等通過?ZKP?技術入局跨鏈市場也印證了?ZKP?技術用于實現更安全跨鏈方案的潛力。目前?Multichain、CelerNetwork?和?Wormhole已經開始布局?ZKP?跨鏈。

圖?7ZKP?跨鏈新布局

此外,通過?Axelar、Celer、Layerzero、Multichain?和?Wormhole?公開的信息,梳理其對安全事件的應對政策,可以發現存在以下幾點問題。

創新性方案非常匱乏。Multichain?設立安全基金,用于補償用戶因多鏈系統和服務漏洞而造成的任何潛在損失。這種具有兜底性質的安全方案在行業中尚不多見。

并不是每一個跨鏈項目都覆蓋事前事中事后的安全政策。在本文所選的?5?個項目中,只有?Multichain?明確了事前事中事后的安全政策。

安全保障機制尚不完善。開啟漏洞賞金和進行安全審計是安全事件發生前的常見操作。但跨鏈項目缺少全面的綜合性的安全應對解決方案和安全機制,相關的安全措施往往是在安全事故發生后才提出,事先并沒有完整性的安全標準和危機應對流程。如?Wormhole、Multichain?是在安全事件發生后才與?Immunefi?合作開啟漏洞賞金計劃。

跨鏈技術目前仍處于初步探索階段,行業內也尚未形成統一的跨鏈標準和穩定的跨鏈體系。雖然跨鏈項目對于跨鏈安全付出了很多努力,但依賴于跨鏈項目本身的解決方案以及采取的非技術安全措施無法一勞永逸解決跨鏈安全的難題。防范安全攻擊是一項永無止境的任務,雖然?ZKP?給予了解決跨鏈安全問題的新思路,但整體來看,ZK?跨鏈項目普遍沒有經歷大規模的市場檢驗,合約的安全性仍需要進一步跟蹤和觀察。各種跨鏈方案在在發展過程中也會遇到各種安全性挑戰,如網絡安全挑戰、技術本身存在的挑戰、無法避免出現的智能合約漏洞等。跨鏈安全的道路任重而道遠!

參考文獻:https://axelar.network/blog/an-introduction-to-the-axelar-networkhttps://axelar.network/blog/security-at-axelar-corehttps://docs.axelar.dev/learn/securityhttps://celer.network/technology#tophttps://twitter.com/CelerNetworkcn/status/1560911682339508224?https://mp.weixin.qq.com/s/SInU_o3Ct-7A6pFbKLqzHQhttps://blog.celer.network/2023/03/21/brevis-a-zk-omnichain-data-attestation-platform/https://layerzero.network/pdf/LayerZero_Whitepaper_Release.pdfhttps://drive.google.com/file/d/1NFFFecAjStbGMyvJVDez3xmsGSHYvNYv/viewhttps://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde0397accf5https://medium.com/multichainorg/multichain-contract-vulnerability-post-mortem-d37bfab237c8https://drive.google.com/file/d/1ibuHChcYcYCN6JelRAQPnM4rkaB9EgAM/viewhttps://github.com/wormhole-foundation/wormhole/blob/dev.v2/SECURITY.md#3?rd-party-security-auditshttps://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116ecfb91

原文鏈接

Tags:WORCHAAINHAIRegen NetworkpreChargehxchainBlockgameChain

狗狗幣最新價格
周鴻祎:國內大模型如果不經過兩年模仿,上來就說超越,那叫吹牛_GPT

來源:澎湃新聞 記者范佳來 圖片來源:由無界AI工具生成“我們給你創造一個GPT大腦,把你直播的內容全部用數字化方式記錄下來,就可以實現董宇輝的數字永生.

1900/1/1 0:00:00
深度解讀世界上第一個受監管的鏈上保險項目Nayms_COIN

Nayms是一家保險科技公司,傳統保險業不透明、緩慢且效率低的下,新項目?Nayms?通過引入區塊鏈技術,讓保險行業變得透明和高效,同時將風險定價和保險業務管理提升到了一個新的水平.

1900/1/1 0:00:00
專訪“AI 教父”Geoffrey Hinton:為什么我開始害怕自己所建立的技術_ANK

撰文:WillDouglasHeaven 來源:麻省理工科技評論 就在杰弗里-辛頓宣布退出谷歌這一重磅消息的四天前,我在倫敦北部一條街道的房子里見到了他.

1900/1/1 0:00:00
StarkNet 技術風險、經濟模型與評論_STA

Arbitrum空投的財富效應點燃了市場對L2的信心,紛紛布局還未發幣的L2。而80億美元高估值的StarkWare自然是備受矚目.

1900/1/1 0:00:00
星球日報 | BTC及迷因幣快速下跌;Coinbase或將在阿聯酋設立國際中心(5月9日)_DAILY

頭條 BTC?短線跌破?27500USDTOdaily星球日報訊OKEx?行情顯示,BTC?快速下跌,短線跌破?27500USDT,最低至?27300?附近USDT;現報?27525USDT.

1900/1/1 0:00:00
一文讀懂EIP-4626: 代幣化保險庫的通用標準

原文作者:StaderEthereum原文編譯:深潮TechFlow代幣化保險庫,作為一種新興的數字資產管理方式,已經在以太坊上得到廣泛應用.

1900/1/1 0:00:00
ads