Uniswap DAO 辩论表明开发人员仍在努力确保跨链桥的安全

根据代币Terminal 的一份报告，从2021 年到2022 年，超过25 亿美元的跨链加密货币桥黑客被盗。但是，尽管开发人员多次尝试提高桥接器的安全性，但从2022 年12 月到2023 年1 月在Uniswap DAO 论坛上进行的辩论暴露了区块链桥接器中继续存在的安全漏洞。过去，Ronin 和Horizo​​n 等网桥使用多重签名钱包来确保只有网桥验证者才能授权取款。例如，Ronin 需要九个签名中的五个才能退出，而Horizo​​n 需要五个中的两个。但是攻击者想出了如何绕过这些系统并提取了价值数百万美元的加密货币，从而使这些桥接器的用户拥有无後盾的令牌。在这些多重签名桥被黑客攻击後，开发人员开始转向更复杂的协议，如Celer、LayerZero 和Wormhole，这些协议声称更安全。但在2022 年12 月，Uniswap DAO 开始讨论将Uniswap v3 部署到BNB Chain。在此过程中，去中心化自治组织（DAO）必须决定使用哪种桥接协议进行跨链Uniswap 治理。在随後的讨论中，每个解决方案的安全性都受到了批评者的质疑，这让一些观察家得出结论，没有任何一种桥接解决方案的安全性足以满足Uniswap 的目的。因此，一些参与者得出结论，只有多桥解决方案才能在当今加密的跨ChainLink境中保护加密货币资产。根据DefiLlama 的说法，截至2 月15 日，超过100 亿美元的加密货币资产目前被锁定在桥梁上，这使得桥梁安全问题成为一个紧迫的问题。区块链桥如何工作区块链桥使两个或多个区块链能够相互共享数据，例如加密货币。例如，桥接器可以使美元硬币(USDC) 从以太坊发送到BNB 链，或者使交易者乔(JOE) 从Avalanche 发送到Harmony。但是每个区块链网络都有自己的体系结构和数据库，与其他网络分开。所以从字面意义上讲，没有硬币可以从一个网络发送到另一个网络。 为了解决这个问题，桥将硬币锁定在一个网络上，并在另一个网络上铸造它们的副本。当用户想要将他们的代币“移动”回原始网络时，桥接器会销毁副本并解锁原始代币。虽然这不会在网络之间移动硬币，但它足够相似，可以满足大多数加密货币用户的目的。然而，当攻击者可以在接收链上铸造无担保的硬币或在发送链上提取硬币而不销毁其副本时，就会出现问题。无论哪种方式，这都会导致接收链有额外的硬币，这些硬币没有任何支持。这正是2022 年浪人和地平线黑客事件中发生的事情。浪人与地平线：桥接出错时Ronin 桥是一种协议，允许Axie Infinity 玩家在以太坊和Ronin 侧链之间移动代币来玩游戏。 桥的以太坊合约有一个名为“withdrawERC20For”的功能，它允许Ronin 验证者提取以太坊上的代币并将它们提供给用户，无论是否在Ronin 上销毁它们。然而，验证者运行的Ronin 软件被编程为仅在Ronin 上的相应代币被销毁时调用此函数。调用该函数需要9 个验证器节点中的5 个签名，以防止攻击者即使控制了单个节点也无法提取资金。为了进一步确保资金不会被盗，Axie Infinity 开发商Sky Mavis 将大部分验证者密钥分发给了其他利益相关者，包括Axie DAO。这意味着即使Sky Mavis 的计算机被超越，攻击者仍然无法在没有他们支持的情况下提取硬币，因为攻击者只有四个密钥。但是尽管采取了这些预防措施，攻击者仍然可以获得Sky Mavis 的所有四个密钥，以及来自Axie DAO 的第五个签名，从而从桥上提取价值超过6 亿美元的加密货币。最近：SEC vs. Kraken：攻击加密的一次性或开场白？此後，Sky Mavis 已对攻击的受害者进行了补偿，并重新启动了该桥，开发人员称之为“断路器”系统，该系统可以停止大量或可疑的提款。2022 年6 月24 日，Harmony Horizo​​n Bridge 发生了类似的攻击。该桥允许用户将资产从以太坊转移到Harmony，然後再转移回来。 “unlockTokens”（取款）函数只有在Harmony 团队五分之二的签名授权时才能调用。可以生成这些签名的私钥使用密钥管理服务进行加密和存储。但是通过某种未知的方法，攻击者能够获得并解密其中的两个密钥，从而使他们能够从桥的以太坊端提取1 亿美元的加密货币。Harmony 团队於2022 年8 月提出了报销计划，并使用LayerZero 重新启动了桥梁。在这些黑客攻击之後，一些桥接开发人员认为他们需要比基本的多重签名钱包更好的安全性。这就是桥接协议的用武之地。桥接协议的兴起由於Ronin 和Horizo​​n 黑客事件引起了人们对网桥安全问题的关注，一些公司开始专门创建其他开发人员可以根据其特定需求定制或实施的网桥协议。这些协议声称比仅使用多重签名钱包处理提款更安全。1 月下旬，Uniswap DAO 考虑推出其去中心化交易所的BNB Chain 版本。在此过程中，它需要决定使用哪种协议。以下是所考虑的四种协议，以及它们如何尝试保护其桥梁的简要说明。零层根据LayerZero 文档，该协议使用两个服务器来验证硬币在允许它们在目标链上铸造之前是否锁定在原始链上。第一个服务器称为“oracle”。当用户锁定发送链上的硬币时，预言机将该交易的区块头传输到目标链。第二台服务器称为“中继器”。当用户在发送链上锁定代币时，中继器向第二条链发送证明，证明锁定交易包含在oracle 引用的块中。只要预言机和中继器是独立的并且不串通，攻击者就不可能在链B 上铸币而不在链A 上锁定它们，或者在链A 上取币而不在链B 上销毁它们。LayerZero 使用Chainlink 作为默认预言机，并为想要使用它的应用程序开发人员提供自己的默认中继器，但开发人员也可以根据需要创建这些服务器的自定义版本。赛勒根据Celer cBridge 文档，Celer 依靠称为“状态监护人”的权益证明(PoS) 验证器网络来验证代币在被铸造到另一条链上之前是否已锁定在一条链上。三分之二的验证者必须同意交易有效才能确认。在Uniswap 辩论中，Celer 联合创始人董莫澄清说，该协议还提供了另一种共识机制，称为“Optimism汇总式安全性”。在这个版本中，交易有一个等待期，允许任何一个国家监护人在其拥有的信息与三分之二多数相矛盾的情况下否决交易。Mo 认为，包括Uniswap 在内的一些应用程序开发人员应该使用“乐观的类似汇总的安全模型”，并运行他们自己的应用程序守护者，以保证即使网络受到损害，他们也可以阻止欺诈交易。在回答有关网络验证者是谁的问题时，Celer 联合创始人表示：“Celer 共有21 个验证器，它们是币安链、Avalanche、Cosmos 等享有盛誉的PoS 验证器，它们可以保护链，例如币安、Everstake、InfStones、Ankr、Forbole、01Node、OKX、HashQuark、RockX 等。 ”他还强调，Celer 削减了试图确认欺诈交易的验证者。虫洞根据该团队的一篇论坛帖子，Wormhole 依靠19 个称为“监护人”的验证器来防止欺诈交易。 19 个验证者中有13 个必须同意才能确认交易。在Uniswap 辩论中，Wormhole 辩称其网络比同行更加去中心化并且拥有更多信誉良好的验证器，并指出：“我们的Guardian 集合包含领先的PoS 验证器，包括Staked、Figment、Chorus One、P2P 等。”德布里奇deBridge 文档说它是一个具有12 个验证器的权益证明网络。这些验证器中的八个必须同意交易有效才能得到确认。试图通过欺诈交易的验证者将被削减。在Uniswap 辩论中，deBridge 联合创始人Alex Smirnov 表示，所有deBridge 验证者“都是专业的基础设施提供商，可以验证许多其他协议和区块链”，“所有验证者都承担声誉和财务风险”。在辩论的後期阶段，Smirnov 开始提倡多桥解决方案，而不是使用deBridge 作为Uniswap 的唯一解决方案，他解释说：“如果选择deBridge 进行温度检查和进一步的治理投票，Uniswap-deBridge 集成将建立在这个与桥梁无关的框架的背景下，因此将使其他桥梁能够参与。”在整个Uniswap 桥辩论中，这些协议中的每一个都在其安全性和去中心化方面受到批评。据称LayerZero 为应用程序开发者提供了权力LayerZero 因涉嫌伪装2/2 多重签名并将所有权力交到应用程序开发人员手中而受到批评。 1 月2 日，L2Beat 作者Krzysztof Urbański 声称，如果攻击者控制了应用程序开发人员的计算机系统，则可以绕过LayerZero 上的预言机和中继系统。为了证明这一点，Urbański 使用LayerZero 部署了一个新的桥和代币，然後将一些代币从以太坊桥接到Optimism。之後，他调用了一个管理功能，将oracle 和中继器从默认服务器更改为他控制的服务器。然後，他开始撤回以太坊上的所有代币，而Optimism 上的代币没有得到支持。Urbański 的文章被包括GFX Labs 和LIFI 的Phillip Zentner 在内的多个参与者引用，作为LayerZero 不应被用作Uniswap 唯一桥接协议的原因。在接受Cointelegraph 采访时，LayerZero 首席执行官Bryan Pellegrino 回应了这一批评，称使用LayerZero 的桥梁开发人员“可以销毁 [its] 能够更改任何设置并使其100% 不可变。 ” 然而，大多数开发人员选择不这样做，因为他们害怕将不可变的错误强加到代码中。 他还认为，将升级交到“中间链授权”或第三方网络手中可能比让应用程序开发人员控制它更具风险。一些参与者还批评LayerZero 有一个未经验证或闭源的默认中继器。据称，这将使Uniswap 难以快速开发自己的中继器。Celer 对安全模型表示担忧在1 月24 日的初始非约束性投票中，Uniswap DAO 选择将Celer 部署到BNB Chain 作为Uniswap 的官方治理桥梁。然而，一旦GFX Labs 开始测试桥接器，他们就发布了对Celer 安全模型的担忧和问题。根据GFXLabs 的说法，Celer 有一个可升级的MessageBus 合约，由五个多重签名中的三个控制。这可能是一种攻击媒介，恶意人员可以通过它获得对整个协议的控制权。针对这一批评，Celer 联合创始人Mo 表示，该合约由四家备受推崇的机构控制：InfStones、币安Staking、OKX 和Celer Network。 Dong 认为MessageBus 合约需要升级以修复未来可能发现的错误，他解释说：“我们使MessageBus 可升级，目的是更轻松地解决任何潜在的安全问题，以防万一并添加必备功能。 但是，我们谨慎处理此流程，并不断评估和改进我们的治理流程。 我们欢迎更多的积极贡献者，例如GFXLabs，更多地参与其中。”在辩论的後期阶段，Celer 开始支持多桥解决方案，而不是争论它自己的协议是唯一的桥。虫洞不砍Wormhole 因未使用slashing 来惩罚行为不端的验证者而受到批评，并且据称其交易量低於其承认的数量。Mo 认为，带有slashing 的PoS 网络通常比没有的更好，他说，“虫洞没有任何经济安全或协议中内置的slashing。 如果还有其他的中心化/链下协议，我们希望虫洞能够让社区知道。 只要看一下这个比较，协议中合理的经济安全水平>> 协议中的0 经济安全。”莫还称，Wormhole 的交易量可能比公司承认的要低。据他介绍，超过99% 的Wormhole 交易来自Pythnet，如果排除这个数字，“Wormhole 上最近7 天每天有719 条消息。”DeBridge 几乎没有针对它的批评，因为大多数参与者似乎认为Celer、LayerZero 和Wormhole 是主要选择。在辩论的後期阶段，deBridge 团队开始提倡多桥解决方案。迈向多桥解决方案？随着Uniswap 辩论的继续，一些参与者认为不应使用单一的桥接协议进行治理。相反，他们认为应该使用多个桥梁，并且应该要求所有桥梁的多数甚至一致决定来确认治理决策。随着辩论的进行，Celer 和deBridge 也同意了这一观点，LIFI 首席执行官Phillip Zentner 认为，Uniswap 向BNB 的迁移应该推迟，直到可以实施多桥解决方案。最终，Uniswap DAO 投票决定将Wormhole 作为官方桥梁部署到BNB Chain。然而，Uniswap 执行董事Devin Walsh 解释说，使用单个桥进行部署并不排除在以後添加额外的桥。因此，多桥解决方案的倡导者可能会继续努力。区块链桥可以安全吗？无论Unsiwap 的跨链治理过程最终会发生什麽，这场辩论都说明了保护跨链桥是多麽困难。将提款交到多重签名钱包手中会产生风险，即不良行为者可能会在未经用户同意的情况下控制多个签名并提取代币。它中心化了区块链世界，使用户依赖可信的权威而不是去中心化的协议。最近：DeFi 安全：无需信任的桥梁如何帮助保护用户另一方面，权益证明式桥接网络是复杂的程序，可能会被发现有错误，如果他们的合约不可升级，那麽如果不对其中一个底层网络进行硬分叉，这些错误就无法修复. 开发人员继续面临权衡，是将升级交到可能被黑客攻击的可信机构手中，还是让协议真正去中心化，因此不可升级。数十亿美元的加密货币资产存储在桥上，随着加密货币生态系统的发展，随着时间的推移，这些网络上存储的资产可能会更多。因此，保护​​区块链桥和保护这些资产的问题仍然很关键。资讯来源：由0x资讯编译自COINTELEGRAPH。版权归作者Tom Blackstone所有，未经许可，不得转载