依照 Token Terminal 报告,从 2021 年到 2022 年,少于 25 万美元的 跨链身份校正桥骇客失窃。不过,虽然开发者多次企图提高转接器的安全可靠性,但从 2022 年 12 月到 2023 年 1 月在 Uniswap DAO 论坛上的辩论暴露了计算机程序链转接器中继续存在的安全可靠漏洞。
过去,Ronin 和 Horizon 等待连接结构采用数个亲笔签名手提包,保证多于连接结构校正人才能许可提款。例如,Ronin 退出须要九个亲笔签名中的四个,而且 Horizon 须要四个中的三个。不过,普通采用者想出了怎样绕过那些控制系统,抽取价值数十亿美元的身份校正汇率,使那些转接器的采用者拥有无后盾的令牌。
在那些多重亲笔签名桥被骇客反击后,开发者已经开始转向更复杂的协定,比如 Celer、LayerZero 和 Wormhole,那些协定宣称更安全可靠。
但在 2022 年 12 月,Uniswap DAO 已经开始探讨将 Uniswap v3 部署到 BNB Chain。在此过程中,去虚拟化自治组织(DAO)跨链接协定必须决定采用何种转接协定 Uniswap 治理。在随后的探讨中,反对者质疑每一软件控制系统的安全可靠性,这让许多观察家得出,没转接软件控制系统的安全可靠性足以满足用户 Uniswap 的目的。
因此,许多参与者得出,在当今身份校正的跨链环境中,多于多桥软件控制系统才能保护身份校正金融资产。
依照 DefiLlama 说法,截止 2 月 15 日,少于 100 目前,1万美元的身份校正金融资产被瞄准在公路桥上,这使得公路桥安全可靠成为两个紧迫的难题。
怎样工作计算机程序链桥?
计算机程序链桥 使三个或三个以上的计算机程序链相互共享数据,如身份校正汇率。例如,公路桥能启用 USD Coin从 Ethereum 推送至 BNB Chain 或 Trader Joe (JOE) 从 Avalanche 推送至 Harmony。
不过,每一计算机程序链互联网都有自己的控制系统结构和数据库,与其它互联网分开。因此,从字面意义上说,没银币能从两个互联网推送至另两个互联网。
为了解决这个难题,桥将银币瞄准在两个互联网上,并在另两个互联网上铸成复本。当采用者想“终端”他们的虚拟汇率回到原初互联网时,转接器会封存复本并解锁原初虚拟汇率。虽然银币不会在互联网之间终端,但它足够相似,能满足用户大多数身份校正采用者的目的。
不过,当普通采用者能在不封存复本的情况下在转交链上铸成无担保银币或从推送链上抽取银币时,就会出现难题。无论怎样,这单厢导致转交链中没任何支持的额外银币。这就是 2022 年武士和夜空骇客事件中发生的事情。
武士与夜空:转接错误时:
Ronin 容许公路桥是一种协定 Axie Infinity 玩家在镜像坊和 Ronin 终端虚拟汇率在主链之间玩游戏。
桥的镜像坊合约有两个叫做“withdrawerc20for”的功能 Ronin 校正人抽取镜像坊上的虚拟汇率并将其提供给采用者,无论是否在 Ronin 封存它。不过,校正者正在运行 Ronin 应用软件被编程为仅在 Ronin 当相应的虚拟汇率被封存时,初始化此表达式。须要初始化此表达式 9 在校正器结点中 5 即使控制了单个结点,普通采用者也无法抽取资金。
为进一步保证资金不会失窃,Axie Infinity 开发商 Sky Mavis 将大部分校正者公钥分发给其它利益各别,包括 Axie DAO。这意味着即使 Sky Mavis 没他们的支持,普通采用者仍然无法抽取银币,因为普通采用者多于两把钥匙。
不过,虽然采取了那些预防措施,普通采用者仍然能获得 Sky Mavis 所有四个公钥,以及来自 Axie DAO 第四个亲笔签名,所以 少于从桥上抽取的价值 6 身份校正汇率1万美元。
此后,Sky Mavis 对反击受害者进行了补偿,并再启动了公路桥,开发者称之为“断路器”控制系统,该控制系统能停止大量或可疑的提款。
2022 年 6 月 24 日,Harmony Horizon Bridge 类似的反击发生了。容许采用者将金融资产从镜像坊迁移到镜像坊 Harmony,然后迁移回来。“unlockTokens“(提款)表达式只在 Harmony 多于在五分之二的项目组亲笔签名许可时才能初始化。采用公钥管理服务身份校正和存储能生成那些亲笔签名的公钥。不过,通过许多未知的方法,普通采用者能获得并解密三个公钥,从桥的镜像坊一侧抽取它 1 身份校正汇率1万美元。
Harmony 项目组于 2022 年 8 每月提出报销计划, 采用 LayerZero再启动了公路桥。
在那些骇客反击之后,许多转接开发者认为他们须要比基本的多亲笔签名手提包更安全可靠。这就是转接协定的地方。
转接协定的兴起
由于 Ronin 和 Horizon 骇客事件引起了人们对公路桥安全可靠难题的关注,许多公司已经开始创建其它开发者能依照其特定须要定制或实施的公路桥协定。那些协定宣称比只采用数个亲笔签名手提包更安全可靠。
1 月下旬,Uniswap DAO 考虑推出其去虚拟化交易所 BNB Chain 版本。在这个过程中,它须要决定采用何种协定。以下是四项协定,以及怎样企图保护其公路桥。
零层
依照LayerZero 该协定采用三个伺服器来校正银币在容许它在目标链上铸成之前是否瞄准在原初链上。第两个伺服器被称为“oracle".当采用者瞄准推送链上的银币时,PID将交易计算机程序头传输到目标链。
第二个伺服器被称为“网络连接”。当采用者在推送链上瞄准虚拟汇率时,网络连接向第二链推送证书,证明瞄准交易包括在内 oracle 引用的块中。
只要预言机和网络连接是独立的,不串通,普通采用者就不可能在链中 B 上铸币而不是链条 A 瞄准它,或者在链中 A 取币而不是链条 B 封存它。
LayerZero 采用 Chainlink 作为两个默认PID,它为想要采用它的应用程序开发者提供了自己的默认网络连接,但开发者也能依照须要创建那些伺服器的自定义版本。
赛勒
依照Celer cBridge 文档,Celer 依靠被称为“状态监护人”的权益证明 (PoS) 校正器互联网校正虚拟汇率在铸成到另一条链之前是否瞄准在一条链上。三分之二的校正人必须同意有效的交易才能确认。
在 Uniswap 辩论中,Celer 联合创始人董莫澄清,该协定还提供了另一种叫做“乐观总结安全可靠”的共识机制。在这个版本中,交易有两个等待期,容许任何国家监护人在其信息与三分之二多数矛盾的情况下否决交易。
Mo 认为,包括 Uniswap 许多应用程序开发者应采用“乐观的类似总结安全可靠模型”,并运行自己的应用程序守护者,以保证即使互联网损坏,他们也能防止欺诈交易。
在回答互联网校正者是谁的难题时,Celer 联合创始人表示:
“Celer 共有 21 两个校正器,它是 Binance Chain、Avalanche、Cosmos 等待享有盛誉的 PoS 能保护链条的校正器,例如 Binance、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX 等。 ”
他还强调,Celer 减少了企图确认欺诈交易的校正人。
虫洞
依照项目组的论坛帖子,Wormhole 依靠 19 两个被称为“监护人”的校正器,以防止欺诈交易。19 其中有校正者 13 在确认交易之前,必须同意。
在 Uniswap 辩论中,Wormhole 辩称其互联网比同行更分散,拥有更多信誉良好的校正器,并指出:“我们的 Guardian 集合包括领先 PoS 包括校正器 Staked、Figment、Chorus One、P2P 等。”
德布里奇
deBridge 文件说它是一种所有权 12 校正器的权益证明互联网。在确认之前,那些校正器中的八个必须同意有效的交易。企图通过欺诈交易的校正人将被削减。
在 Uniswap 辩论中,deBridge 联合创始人 Alex Smirnov表示,一切 deBridge 校正人“都是专业的基础设施提供商,能校正许多其它协定和计算机程序链”,“所有校正人都承担声誉和财务风险”。
辩论后期,Smirnov 已经开始提倡多桥软件控制系统,而不是采用 deBridge 作为 Uniswap 他解释了唯一的软件控制系统:
“如果选择 deBridge 进行温度检查和进一步治理投票,Uniswap-deBridge 集成将建立在与公路桥无关的框架的背景下,因此其它公路桥能参与其中。”
在整个 Uniswap 在公路桥辩论中,那些协定中的每一项都受到了其安全可靠性和分散性的批评。
据称 LayerZero 为应用程序开发者提供权力
LayerZero 因涉嫌伪装 2/2 多重亲笔签名并将所有权力交给应用程序开发者并受到批评。1. 月 2 日,L2Beat 作者 Krzysztof Urbański宣称,如果普通采用者控制了应用程序开发者的计算机控制系统,它能绕过 LayerZero 预言机和中继控制系统。
为证明这一点,Urbański 采用 LayerZero 从镜像坊桥部署一座新桥和虚拟汇率,然后从镜像坊转转交许多虚拟汇率 Optimism。之后,他初始化了两个管理功能,将 oracle 和网络连接从默认伺服器改为他控制的伺服器。然后,他已经开始撤回镜像坊上的所有虚拟汇率, Optimism 虚拟汇率没得到支持。
Urbański 包括的文章 GFX Labs 和 LIFI 的 Phillip Zentner 引用数个参与者,作为参与者 LayerZero 不应被用作 Uniswap 转接协定的唯一原因。
在接受 Cointelegraph 采访时,LayerZero 首席执行官 Bryan Pellegrino 回应这一批评,称采用 LayerZero “可燃烧的公路桥开发者” [its] 改变任何设置的能力,并使其 100% 不可变。” 不过,大多数开发者选择不这样做,因为他们害怕将不可改变的错误强加到代码中。他还认为,将升级交给“中间链许可”或第三方互联网可能比让应用程序开发者控制它更有风险。
许多参与者也批评 LayerZero 未经校正或闭源默认网络连接。据说这将使 Uniswap 很难快速开发自己的网络连接。
Celer 担心安全可靠模型
在1 月 24 在日本初始非约束性投票中,Uniswap DAO 选择将 Celer 部署到 BNB Chain 作为 Uniswap 公路桥的官方治理。不过,一旦 GFX Labs 他们已经开始测试转接器,他们发布了正确的 Celer 对安全可靠模型的担忧和难题。
依照 GFXLabs 的说法,Celer 有可升级的 MessageBus 合同由四个多重亲笔签名中的三个控制。这可能是一种反击媒介,恶意人员能通过它控制整个协定。
针对这一批评,Celer 联合创始人 Mo 该合同由四家备受推崇的机构控制:InfStones、Binance Staking、OKX 和 Celer Network。Dong 认为 MessageBus 他解释说,合同须要升级以修复未来可能发现的错误:
“我们使 MessageBus 可升级的目的是更容易地解决任何潜在的安全可靠难题,以防万一添加必要的功能。不过,我们仔细处理这个过程,并不断评估和改进我们的治理过程。我们欢迎更多的积极贡献者,如 GFXLabs,更多地参与其中。"
在辩论的后期,Celer 已经开始支持多桥软件控制系统,而不是争论自己的协定是唯一的桥。
虫洞不砍
Wormhole 因未采用 slashing 被批评惩罚行为不端的校正者,据说其交易量低于其承认的数量。
Mo 认为,带有 slashing 的 PoS 互联网通常比没的好。他说:“虫洞在协定中没经济安全可靠或内置。 slashing。如果还有其它集中/链下协定,我们希望虫洞能让社区知道。只要看这个比较,协定中合理的经济安全可靠水平 >> 协定中的 0 经济安全可靠。"
莫还称,Wormhole 交易量可能低于公司承认的交易量。据他说,少于 99% 的 Wormhole 交易来自 Pythnet,如果排除这个数字,“Wormhole 上最近 7 天每天有 719 条消息。”
DeBridge 几乎没批评它,因为大多数参与者似乎认为它 Celer、LayerZero 和 Wormhole 是主要选择。
在辩论的后期,deBridge 项目组已经开始提倡多桥软件控制系统。
走向多桥软件控制系统
随着 Uniswap 随着辩论的继续,许多参与者认为不应采用单一的转接协定进行治理。相反,他们认为应该采用数个公路桥,并要求所有公路桥的大部分甚至一致决定确认治理决策。
随着辩论的进行,Celer 和 deBridge 同意这一观点,LIFI Philipiplip首席执行官 Zentner 认为, Uniswap 向 BNB 在实施多桥软件控制系统之前,应推迟迁移。
最终,Uniswap DAO 投票决定将Wormhole部署到BNB Chain 。不过,Uniswap 执行董事 Devin Walsh解释说,采用单桥部署并不排除将来添加额外的公路桥。因此,多桥软件控制系统的倡导者可能会继续努力工作。
计算机程序链桥安全可靠吗?
无论 Unsiwap 跨链治理过程中最终会发生什么?这场辩论显示了保护跨链桥有多困难。
将提款提交给数个亲笔签名手提包会产生风险,即不良行为者可能会控制数个亲笔签名,并在未经采用者同意的情况下抽取虚拟汇率。它集中了计算机程序链世界,使采用者依赖可信的权威而不是分散的协定。
另一方面,股权证明转接互联网是两个复杂的程序,可能会发现错误。如果他们的合同不能升级,如果底层互联网没硬分叉,那些错误将无法修复. 开发者继续面临权衡,是把升级交给可能被骇客反击的可信机构,还是让协定真正分散,所以无法升级。
数十万美元的身份校正金融资产存储在桥上。随着身份校正生态控制系统的发展和时间的推移,那些互联网可能会存储更多的金融资产。因此,保护计算机程序链公路桥和那些金融资产仍然至关重要。
