跨链安全第一部分——理解跨链系统的框架

区块链互操作性的世界发展迅速。在短短几个月内，我们已经从关于成对桥接的讨论走到了关于跨链互操作网络的讨论。

设计跨链应用程序曾经是如此简单

随着这种复杂性的到来，我们缺乏一个有用的框架来评估跨链互操作网络的架构。我认为我们在上周Sergey的 文章 中看到了这一框架的雏形。我将用自己的思考扩展这个框架，并在第二部分中应用于一些跨链项目，同时评估它们的安全性。

将跨链协议拆分为层

Sergey 提出了将跨链系统拆分为栈组件。这使我们能够更好地理解它们提供的服务并评估这些服务的安全性：

基础层

安装在源链和目标链上的基础设施，用于跨链的读/写。这维护了状态，并为跨链消息访问它。例如，网关智能合约、轻客户端、主链和副本、IBC 模块、比特币账户。

认证层

利用基础层的安全性验证来自其他共识环境的消息的协议级逻辑。例如，轻客户端验证、区块头和交易证明验证、多方密码学、默克尔根证明。

传输层

定义通过区块链模块和不同区块链之间的消息路径和交付规则的逻辑。例如，中继逻辑。

接口层

消息格式标准。例如，定义消息数据形状的智能合约或协议级接口。

跨链安全原则

为了将这个框架应用于跨链安全的讨论，我开发了几个与各种跨链架构普遍相关的跨链安全原则/隐喻。

跨链读/写

我使用跨链中的读/写来表示从另一个链读取或写入状态和安全性。“写”在这种情况下实际上意味着你正在向目标链提供安全读取你自己状态的能力。也就是说，能够验证状态是来自你。

跨链安全协议设计主要在认证层和基础层的交集处有所不同，体现在它们如何允许系统执行读/写操作。

共识重叠

为了在两个共识环境之间共享状态并保护安全性，两网络的共识需要有重叠，像多维维恩图。这以多对多验证者集、乐观协议、轻客户端、多方密码学等形式出现。

目标链*需要一种方法来检查已提交的消息是否确实经过源链的共识验证，否则我们就退回到 web2 的信任。这就像共识层的中间人攻击。

想象一下两座城镇之间的交流。你不能信任骑马的信使告诉你他们的市中心发生了谋杀，你也不能信任某个平民。两座城镇的人需要共同生活在同一个广场，并不断在彼此之间八卦。

\* 在这种情况下，“链”可以是 zk 或乐观共识的方式，或是银行的数据库。

注意跨链通信总是在两个信任环境之间进行。IBC 是两个不相关链信任进行读操作的最佳通用模型，无需中介。如果目标或源无法进行读或写，我们需要引入第三个去中心化协议，可以同时读取 A，向 C 写入。这涉及到两个“跨链”步骤 A:B:C。

对于每个步骤，目标节点必须拥有源链的共识协议的代理，以便与其自身节点进行安全和信任的通信。在大多数情况下，仅凭密码学是不够的；我们需要各种分布式系统节点之间的任意对任意关系。

一旦这些共识区域的状态和安全性互相可用，就可以安全地使用公钥和私钥密码学进行通信。

跨链安全的一个特性

隐藏的经济风险

跨链安全与单链相比的一个关键区别是经济安全假设的不同。

很难准确地测量从攻击跨链协议中可以提取的最大可提取值。需要对目标链上可能的所有智能合约调用组合进行建模，而恶意的跨链协议将有权执行这些操作。

还有人担心跨链协议的经济安全能否跟上它们在多个链上所保护的价值。对于 Layer Zero 和 Nomad，我不确定它们如何扩展，但对于 Axelar 和 Gravity Bridge，我对 Interchain Security 感到兴奋，这将允许跨链协议利用多个链同时的经济安全性，包括它们所连接的链。

社交回滚的不可行性

除非你获得所有涉及攻击的链的同意一起回滚，否则你不太可能通过社会治理来保障因跨链攻击而受损的网络。以太坊不会因为某些在 Wormhole 上傻乎乎的人损失了一些 ETH 就回滚其链！

这种前景促使一些“重复设计”，例如 Nomad 和 Layer Zero，在这类设计中，你实际上是在两个网络上叠加网络，如果其中一个节点网络遭到攻击，另一个可以阻止黑客获取任何内容。这在博弈论和实际操作中存在一些缺陷，但这是一个持续研究的领域，并可能成为一个有用的机制。

在 第二部分 中，我们将把所有这些原则应用于 IBC、Nomad、LayerZero 和 Axelar Network。

• 原文链接： 0xpostman.medium.com/a-f...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～