从2021年到2022年，横跨链加密桥梁被黑客盗取了超过250亿美元，据Token Terminal的一份报告显示。但是，尽管开发者们多次尝试提高桥梁的安全性，但从2022年12月到2023年1月，Uniswap DAO论坛上的一场辩论已经暴露出区块链桥梁中仍然存在的安全漏洞。

在过去，像Ronin和Horizon这样的桥梁使用了多签名钱包来确保只有桥梁验证者可以授权提款。例如，Ronin需要九个签名中的五个来提款，而Horizon则需要五个签名中的两个。但是攻击者找到了绕过这些系统的办法，诈骗了数百万美元的加密货币，使这些桥梁的用户拥有无支持的代币。

在这些多签名桥梁遭到黑客攻击后，开发者们开始转向更复杂的协议，如Celer、LayerZero和Wormhole，这些协议声称更加安全。

但在2022年12月，Uniswap DAO开始讨论将Uniswap v3部署到BNB Chain。在这个过程中，这个去中心化自治组织（DAO）必须决定将使用哪种桥梁协议进行跨链Uniswap治理。在接下来的讨论中，每个解决方案的安全性都遭到了批评，使得一些观察者得出结论，没有任何单一的桥梁解决方案足以安全地满足Uniswap的需求。

因此，一些参与者得出结论，只有多桥梁解决方案才能在当今的跨链加密环境中保护加密资产。

根据DefiLlama的数据，截至2月15日，已有超过1000亿美元的加密资产锁定在桥梁上，这使得桥梁安全问题变得迫在眉睫。

区块链桥梁是如何工作的

区块链桥梁使得两个或多个区块链可以相互共享数据，例如加密货币。例如，桥梁可以使USD Coin（USDC）从以太坊发送到BNB Chain，或者Trader Joe（JOE）从Avalanche发送到Harmony。

但是每个区块链网络都有它自己的架构和数据库，与其他网络分离。因此，在字面上，没有硬币可以直接从一个网络发送到另一个网络。

为了解决这个问题，桥梁在一个网络上锁定硬币，然后在另一个网络上铸造它们的副本。当用户想要“移动”他们的硬币回到原始网络时，桥梁就会销毁副本并解锁原始硬币。虽然这并没有在网络上移动硬币，但它足以满足大多数加密用户的需求。

然而，当攻击者能够在接收链上无基础铸造硬币或者在发送链上提取硬币而不销毁其副本时，问题就出现了。无论如何，这都会导致接收链上有额外没有支撑的硬币。这就是2022年Ronin和Horizon黑客活动中发生的情况。

Ronin和Horizon：当桥梁出错时

Ronin桥梁是一种允许Axie Infinity玩家在以太坊和Ronin侧链之间转移硬币以进行游戏的协议。

桥梁的以太坊合约有一个名为“withdrawERC20For”的功能，允许Ronin验证者从以太坊提取代币并交给用户，无论是否在Ronin上烧毁它们。但是验证者运行的Ronin软件仅在被相应的Ronin上有烧毁的硬币时才调用此功能。调用此功能需要九个验证节点中的五个签名，即使是如果攻击者控制了一个节点也无法提取资金。

为了进一步确保资金无法被盗，Axie Infinity开发者Sky Mavis将大多数验证者的密钥分配给了其他利益相关者，包括Axie DAO。这意味着即使Sky Mavis的电脑被接管，攻击者也无法提取硬币，因为这至少需要四个密钥。

但是，尽管有这些预防措施，攻击者仍然可以获取Sky Mavis的所有四个密钥，以及Axie DAO提供的第五个签名，从该桥提取了超过6亿美元的加密货币。

Sky Mavis已赔偿了攻击的受害者，并将桥梁重新启动，开发者称这是“断路器”系统，可以暂停大型或可疑的提款。

2022年6月24日，Harmony Horizon桥梁也遭到类似的攻击。这个桥梁允许用户资产从以太坊传输到Harmony，然后再回传。只能在被Harmony团队的五个签名中的两个授权时调用“unlockTokens”（提取）功能。可以生成这些签名的私钥被加密并使用密钥管理系统存储。但是，通过某种未知方式，攻击者能够获得并解密了其中两个私钥，从桥梁的以太坊一方提取了1亿美元的加密货币。

Harmony团队在2022年8月提出了赔偿计划，并使用LayerZero重新启动了桥梁。

这些黑客攻击之后，一些桥梁开发者认为他们需要比基本的多签名钱包更好的安全性。这就是桥梁协议出现的时刻。

桥梁协议的兴起

自从Ronin和Horizon黑客攻击引起了桥梁安全问题的关注以来，一些公司开始专注于创建桥梁协议，这些协议可以由其他开发者根据他们的特定需求进行定制或实施。这些协议声称比仅使用多签名钱包处理提款更安全。

在1月底，Uniswap DAO考虑推出BNB Chain版本的其去中心化交易所。在这个过程中，它需要决定使用哪个协议。以下是考虑的四种协议，以及它们如何尝试保护其桥梁的简要说明。

LayerZero

根据LayerZero文档，这个协议使用两个服务器来验证硬币在原始链上被锁定，然后才允许其在目标链上铸币。第一个服务器被称为“预言机”。当用户在发送链上锁定硬币时，预言机将那个交易的区块头传输到目标链。

第二个服务器被称为“中继者”。当用户在发送链上锁定硬币时，中继者向第二链发送证明，表明锁定交易包含在预言机引用的区块中。

只要预言机和中继者是独立的，没有串通，就几乎不可能在链B上无基础地铸造硬币，或者在链A上提取硬币而不在链B上烧毁它们。

LayerZero使用Chainlink作为默认的预言机，并为希望使用它的应用程序开发者提供了自己的默认中继者。但是，如果他们愿意，开发者可以创建这些服务器的自定义版本。

Celer

根据Celer cBridge文档，Celer依靠一个被称为“状态监护人”的权益证明（PoS）验证者网络来验证硬币在铸造到另一个链之前是否已在一个链上被锁定。三分之二的验证者必须同意交易有效才能对其进行确认。

在Uniswap辩论中，Celer联合创始人Mo Dong澄清，该协议还提供了一种称为“乐观回滚式安全”的共识替代机制。在这个版本中，交易处于一段等待期，允许任何单个状态监护人如果其信息与三分之二多数矛盾时，可以撤销交易。

Mo辩称，包括Uniswap在内的一些应用程序开发者应该使用“类似乐观回滚的建立安全模型”，并运行他们自己的应用程序监护人，以确保即使在网络被破坏的情况下也能阻止欺诈交易。

当被问及网络中的验证者是谁时，Celer联合创始人表示：

他还强调，Celer会惩罚尝试确认欺诈性交易验证者的slash。

Wormhole

据团队论坛帖子所述，Wormhole依靠19个被称为“监护人”的验证者来防止欺诈性交易。19个验证者中有13个必须同意交易才能被确认。

在Uniswap辩论中，Wormhole辩称，其网络比其同行网络更加去中心化，并且具有更多信誉良好的验证者，并表示：“我们的监护人组合包括Staked、Figment、Chorus One、P2P等等领先PoS验证者。”

DeBridge

deBridge文档称，它是一个拥有12个验证者的权益证明网络。其中8个验证者必须同意交易有效才能对其进行确认。试图通过欺诈性交易验证者会遭受slash。

在Uniswap辩论中，deBridge联合创始人Alex Smirnov表示，所有deBridge验证者“都是专业的基础设施提供者，它们验证了许多其他协议和区块链”，并且“所有验证者都承担着声誉和财务风险”。

在辩论的后期阶段，Smirnov开始提倡多重桥梁解决方案，而不是将deBridge作为Uniswap的唯一解决方案，正如他解释的那样：

在整个Uniswap桥梁辩论中，这些协议中的每一个都在其安全和去中心化方面遭到了批评。

LayerZero被认为赋予开发者权力

LayerZero被认为是一种伪装的2/2多签名的解决方案，并将所有权力集中在应用开发者手中。在1月2日，L2Beat作者Krzysztof Urbański声称，如果攻击者控制了应用开发者的电脑系统，那么LayerZero上的预言机和中继者系统可以绕过。

为了证明这一点，Urbański使用LayerZero部署了一个新的桥梁和代币，然后将一些代币从以太坊桥接到Optimism。之后，他调用了管理员功能，将预言机和中继者从默认服务器改为他控制的服务器。然后他提取了所有以太坊上的代币，留下了Optimism上的代币无支持。

Urbański的文章被辩论中的多个参与者引用，包括GFX Labs和LIFI的Phillip Zentner，作为为什么LayerZero不应用于Uniswap的唯一桥梁协议的原因。

在接受Coindesk采访时，LayerZero首席执行官Bryan Pellegrino对这些批评做出了回应，表示使用LayerZero的桥梁开发者“可以烧毁他们更改任何设置的能力，并使其100%不可变。”然而，大多数开发者选择不这样做，因为他们害怕将不可变的错误植入代码中。他还辩称，将升级的控制权交到“中间链认证”或第三方网络上可能比将控制权交给应用开发者更危险。

一些人还批评LayerZero有一个未经验证的或封闭源代码的默认中继者。这将导致Uniswap很难快速开发自己的中继者。

Celer提出对安全模型的担忧

在1月24日首次非约束性投票中，Uniswap DAO选择了将BNB Chain部署到Celer作为官方的Uniswap治理桥梁。然而，当GFX Labs开始测试桥梁时，他们提出了对Celer安全模型的担忧和疑问。

根据GFXLabs，Celer有一个可升级的消息总线合约，由五个多签名的三个控制。这可能是恶意人员获取控制整个协议的攻击向量。

对此批评，Celer联合创始人Mo表示，该合同由四个高度尊重的机构控制：InfStones、Binance Staking、OKX和Celer Network。Dong辩称，消息总线合同需要可升级的，以便修复未来可能发现的错误，他解释说：

在辩论的后期阶段，Celer开始支持多重桥梁解决方案，而不是为其自己的协议辩护作为唯一的桥梁。

Wormhole不再slash

Wormhole因其不使用slash惩罚不良行为的验证器，以及据报道其交易量低于实际交易量而受到批评。

Mo辩称，带有slash的PoS网络通常比没有slash的更好，他表示：“Wormhole在其协议中没有内置经济安全或slash。如果有其他集中/链外协议，我们希望Wormhole可以让社区知道。仅仅通过这种比较，协议中的合理经济安全 >> 协议的经济安全。”

Mo还声称，Wormhole的交易量可能低于公司承认的。根据他所说，超过99%的Wormhole交易来自Pythnet，如果排除这个数字，“在过去7天内，虫洞上有719条消息。

deBridge受到的批评很少，因为大多数参与者似乎认为Celer、LayerZero和Wormhole是主导选择。

在辩论的后期阶段，deBridge团队开始提倡多重桥梁解决方案。

迈向多重桥梁解决方案？

随着Uniswap辩论的持续，一些参与者辩称不应使用单个桥梁协议进行治理。相反，他们辩称应使用多个桥梁，并且需要所有桥梁的大多数或甚至一致决定来确认治理决策。

Celer和deBridge在辩论过程中达成此观点，LIFI首席执行官Phillip Zentner辩称，应推迟Uniswap转移到BNB的操作，直到实施多重桥梁解决方案。

最终，Uniswap DAO投票决定使用Wormhole作为官方桥梁，将BNB Chain部署。但是，Uniswap执行董事Devin Walsh解释说，随着单个桥梁的部署并不排除在以后添加额外的桥梁。因此，多重桥梁解决方案的支持者可能会继续他们的努力。

区块链桥梁能否安全？

无论Uniwap的跨链治理过程最终会怎样发展，辩论已经展示了确保跨链桥梁是多么困难。

将提款控制交给多签名钱包给恶意行为者提供了获得多个签名并提取代币而不需要用户同意的风险。这使区块链世界中心化，并使用户依赖受信任的权威而不是去中心化协议。

最近的新闻：SEC对阵Kraken：这是单次袭击还是对加密货币攻击的序幕？

另一方面，权益证明风格的桥梁网络是复杂的程序，可能会被发现有错误。如果其合约不可升级，那么在没有对底层网络进行硬分叉的情况下，这些错误无法修复。开发者持续面临将升级的权力交到受信任的权威人士手中的风险，这可能遭到黑客攻击，与使协议真正去中心化并因此不可升级的平衡。

数十亿美元的加密资产存储在桥梁上，随着加密生态系统的增长，随着时间的推移，可能会在这些网络上存储更多资产。因此，保护区块链桥梁和保护这些资产的问题继续至关重要。

(责任编辑：宏觀經濟數據)