为什么区块链互操作性需要去信任的桥梁

Consensys管理小助手 2023-04-13 15:04:02

在这篇博客中，我们概述了去信任桥，以及它们对互操作性和跨链通信的未来所发挥的重要作用。

Chainalysis 最近的一份报告估计，与桥相关的黑客攻击所造成的损失总额超过 20 亿美元。更重要的是，Rekt 排行榜上的前三名都是由网桥占据：Ronin Network（6.24 亿美元）、Poly Network（6.11 亿美元）和 BNB Bridge（5.86 亿美元）。

正如业内的主要参与者所指出的，糟糕的桥接安全削弱了消费者对加密货币的信心，助长了主流媒体的负面看法，甚至可能导致过度监管。为提高跨链通信的安全性，已经提出了许多建议，但没有一个建议像引入无信任桥那样具有如此大的前景。

与目前的桥接设计不同，去信任桥消除了需要信任一小部分参与者，来传递有关跨链事件的诚实信息。尽管之前的研究表明，没有可信方就不可能进行跨链通信，但去信任桥试图通过使用零知识证明验证中继信息来降低信任。

桥的安全当然很复杂，有多种攻击载体需要考虑，但大多数人都认为桥的设计中固有的信任假设导致了许多攻击。这就是为什么使用零知识技术来促进去信任的跨链通信可能会改变区块链互操作性空间的游戏规则。

ELI5: What is a trustless bridge?ELI5：什么是去信任桥？

去信任桥是一种跨链桥，它使用加密原语（例如，零知识证明）来验证区块链之间传递的信息，而不是依赖经济激励或诚实假设来确保安全性。为了理解加密经济激励和诚实假设在当今网桥中的作用，让我们评估当今桥梁的一个常见场景：资产移动。

假设一个用户（我们称之为爱丽丝）想把一个代币从 A 链转移到 B 链。通常的方法（尽管存在其他手段）是把爱丽丝的代币锁定在源链（链 A）上，并在目标链（链 B）上发行一个衍生资产。

对于跨链桥，操作的关键部分是让链 B 接受链 A 上发生的事件（即锁定代币）。但这很难实现，因为链 A 和链 B 无法解释和验证彼此的状态，特别是如果它们具有不同的共识机制、验证器集和安全属性。

一种解决方案是在目标链上运行一个轻量级的客户端，它存储来自源链的区块头。然后，目标链可以通过对区块头中包含的状态根做交易 Merkle 证明来验证某些交易的存在。缺点是这种方法可能是计算密集型的，并且需要在 gas 费上投入大量成本。

大多数网桥都试图通过第三方对链上事件的验证代替轻客户端验证来解决这个问题。在这种安排下，会监听两条链上的特定交易（例如，代币存款和销毁），并批准对桥接区块链的提款和存款。

如果爱丽丝使用中心化网桥，“第三方”可能是中心化网桥运营商或许可委员会的成员。在这种情况下，中继器将被信任将有关链上事件的正确信息中继到桥接协议。

去中心化的网桥将允许任何人传递跨链消息，但要求参与者首先投入一些资金。如果另一个参与者发现有欺诈行为，则可以削减此股份。这可以从经济上激励中继者诚实行事。尽管如此，这种方法还是需要用户相信，至少有一个诚实的参与者存在，可以通过欺诈证明来挑战无效消息。

与上述桥设计不同，去信任桥消除了对不同区块链之间中继消息的各方的信任。具体来说，去信任桥结合了轻客户端对链上状态更新的验证和零知识证明，为安全的跨链通信提供了一个强大的机制。

我们应该注意，本文中描述的去信任桥并不是指典型的 rollup 桥（例如Arbitrum Bridge），它们在设计上也是信任最小化的。相反，我们描述了一种连接任意两个区块链的去信任桥，它使用有效性证明来验证中继消息。

去信任桥的架构

轻客户端

同步源链区块头的轻客户端在目标链上以智能合约的形式实现。这确保了目标链可以在不依赖外部方的情况下验证有关源链状态的信息。此外，它允许任何人在目标链的上下文中证明源链上某些交易的存在（使用 Merkle 证明）。

中继器

将区块头从源链中继到目标链的任务可以由单个运营商、联盟或一组受激励方处理。虽然去信任桥的确切性质（有许可或无许可）不会影响其稳健性，但它会影响诸如活跃度和抗审查性之类的事情。

有效性证明

负责中继最新区块头的各方需要生成零知识证明，以确认中继区块头对轻客户端合约的有效性。请注意，此证明根据共识协议证明了区块链状态（在区块头中）的有效性。

具体来说，有效性证明仅检查特定链上的最新区块是否被该链的大多数验证者批准。但是，它不能根据协议规则证明块本身是有效的。因此，有效性证明被描述为“共识证明”而不是“有效性证明”（向 Succinct Labs 寻求灵感）。

为新区块头生成的有效性证明验证了以下内容：

i. 最新的最终区块是由大多数验证者集签署的。如果一个区块在没有大部分验证者损失其股权的情况下不能被撤销，则该块被认为是最终确认的。目前，以太坊和 Cosmos 等权益证明网络需要 > ⅔ 的验证者签名才能最终确认区块。

ii. 最新区块上的签名是有效的，并且对应于与当前验证器集关联的一组公开可用的公钥。

除了确保消息的有效性，有效性证明还有助于降低运行去信任桥的成本。就上下文而言，由于验证链上验证者签名的复杂性和高成本，早期尝试实现跨链事件的轻客户端验证遇到了问题。

去信任桥利用零知识证明的简洁性解决了验证成本的问题。所谓简洁性，是指无论花费多少时间计算原始见证人，有效性证明的大小都保持不变。正如 Vitalik Buterin 所说：

“zkSNARK 允许你生成一些计算具有某些特定输出的证明，即使底层计算需要很长的时间来运行，这种证明也可以非常快速地得到验证。”

ZK 证明的简洁性使得低成本验证链下签名和计算证明签名的有效性成为可能。由于证明是恒定大小的，因此验证它们的成本比验证链上多个验证者的签名要低几个数量级。

桥接合约

与传统的跨链桥一样，去信任桥会将合约部署在桥接区块链上以处理存款和取款。通常，只有当桥接合约收到中继者的用户请求有效的签名消息时，存款或取款才会被批准。

去信任桥的不同之处在于，它们仅在收到轻客户合约的头信息，证明存在存款或提款交易后，才会确认提款或存款。这将要求用户简单地提供一个 Merkle 证明，以显示交易包含在他们桥接的任何链中。下面的信息图显示了这在实践中是如何工作的：

去信任桥协议可能的工作流程

为什么区块链互操作性需要去信任的桥

如前所述，去信任桥减少了对参与跨链通信的外部参与者诚实行事的信任。更重要的是，轻客户端验证和有效性证明的结合，降低了桥接合约根据不正确或虚假信息行事的可能性。

这并不意味着去信任桥可以完全消除跨链通信中对信任的需求（出于这个原因，“信任最小化桥”可能是一个更准确的术语）。用户仍然需要相信区块链在经济上是安全的，这样任何创建无效块的协调尝试都会给潜在的攻击者带来重大损失。

例如，如果大多数验证者 (⅔) 签署了一个无效块并下线以避免被削减股份，那么对桥的攻击可能会奏效。然而，这并不可行，因为离线验证器在以太坊或 Cosmos 等 PoS 网络中会受到重罚。

除了改善跨链信息的验证，信任最小化的桥还可以解决困扰当前桥设计的两个问题：中心化和运营效率低下。这两个问题交织在一起，构成了区块链互操作性三难困境的一部分。

中心化网桥通过使用中央运营商或一小组经批准的实体来验证跨链消息来提高效率。然而，这打开了几个攻击载体，包括对用户审查和网桥运营商受到损害的可能性。

去中心化的网桥是无需许可的——允许不同的受激励方充当预言机，提供有关其他链上发生的事件的信息。为了确保桥的安全，中继者可能需要抵押资金，以防发生欺诈。然而，该系统会导致资本效率低下，因为它迫使参与者锁定可用于其他地方的资本。

此外，争议仲裁机制只有在诚实方有足够时间来检测中继者之间的恶意活动并发起挑战时才会起作用。因此，乐观的桥接器可能会迫使用户在提取资金之前等待一段特定的时间。通过使用非交互式有效性证明来验证桥接区块链上的操作，信任最小化桥接解决了上述问题。例如，即使桥的控制是中心化的，参与方也不可能中继无效或不存在的状态更新。（这假设用于生成证明的底层加密协议是可靠的，因此生成虚假证明是不可行的。）

此外，由于无需依赖争议仲裁来抵御无效操作，网桥可以将用户的延迟减少到可以忽略不计的程度。在这种情况下，撤回的延迟将对应于为中继区块头生成零知识证明所需的时间。

生产中的去信任桥

建立去信任的网桥是困难的，这解释了为什么今天没有看到这样的桥在使用。其中一些原因包括验证链上有效性证明的成本和证明生成的计算密集型特性。

幸运的是，证明技术的进步（例如，分布式证明计算和递归证明）和对互操作性日益增长的需求（由区块链生态系统的爆炸式增长驱动）正在推动为区块链用户构建信任最小化桥的努力。下面，我们重点介绍一些致力于区块链互操作性问题的信任最小化解决方案的主要项目：

Telepathy

Succinct Labs 致力于为以太坊创建一个去中心化和无需许可的互操作性协议。该团队已经创建了 Gnosis Chain 和以太坊之间支持 ZK 的轻客户端桥的概念证明。

Telepathy，正如 Succinct 所称的去信任的网桥，依靠以太坊的轻客户端协议来跟踪最近在以太坊上完成的区块。该桥由一个为中继区块头生成证明的链下组件和一个负责验证中继者提交的证明的链上组件组成。

ZK-Bridge

ZK-Bridge 是伯克利大学研究与开发研究所 (RDI) 附属学者的一项成果。与 Telepathy 一样，ZK-Bridge 依赖于去中心化的中继网络来提交区块头和计算有效性证明。

ZK-Bridge 的主要创新是使用了两层证明生成机制。证明由中继网络节点使用 Virgo 证明者的修订版本（称为 deVirgo）并行生成，并聚合成单个证明。这些证明被提交给 Groth16 证明者，它生成一个恒定大小的 ZK-SNARK 证明，证明 Virgo 协议的正确执行（以及证明的有效性）。

这很重要，因为虽然 Virgo 显着减少了证明时间，但生成的证明太大而无法在链上验证。Groth16 证明器速度较慢，但生成的证明较小，并降低了验证成本。因此，结合 deVirgo 和 Groth16 可以让 ZK-Bridge 加速证明生成并降低成本（实现效率和成本效益）。

ZK-IBC
Electron Labs 正在 Cosmos 和以太坊之间搭建一座网桥，该桥利用轻客户端协议和 ZK-SNARKs 来证明 Cosmos 链上到以太坊节点的状态变化。该桥的名称部分源自 IBC（区块链间通信），这是一种用于在 Cosmos 生态系统中的链之间传递消息的协议。

正如 Etheresear.ch 上的介绍性帖子所述，使用 ZK-IBC 网桥的成本和延迟受多种因素影响。例如，Cosmos 链的出块时间更快（约 7 秒）。如果为每个新块生成证明，那么在最坏的情况下，生成和验证证明的成本可能会由单个用户承担。

相反，如果网桥运营商等待存款累计到一定数量再执行，那么用户在过桥资金方面会遇到一些延迟。尽管如此，ZK-IBC 团队计划实施解决方案，例如使用并行机器生成证明，以降低成本和延迟。

Topos
与前面描述的项目不同，Topos 是一个成熟的互操作性协议，允许异构链以去信任的方式交换信息、资产和任意数据。读者可能会发现这有点类似于 Cosmos 和 Polkadot 分别希望通过 IBC 和 XCM（交叉共识消息格式）实现的目标。

然而，Topos 不同于 Polkadot 和 Cosmos，因为它使用有效性证明强制在链（称为子网）之间传输的共识信息的正确性。一个子网上的用户可以触发远程子网上的操作（例如，代币铸造或合约调用），但前提是子网证书（引用最新的区块头和待定的跨链消息）和随附的有效性证明已在目标链上被接受。

去信任区块链互操作性的未来

去信任的网桥仍然远未投入实用，并且上述重点项目都没有生产就绪的实施（尚未）。然而，信任最小化的网桥可能会在几年内变得可用。

即便如此，重要的是要注意信任最小化的桥不会自动解决与跨链传输相关的所有问题。在区块链之间移动资产总是会涉及风险，尤其是在两个不共享安全性的链之间进行桥接时。

假设有一个以太坊-Solana 桥，它 (a) 在验证以太坊上的 ETH 存款后向 Solana 上的用户发行 Wrapped Ether (WETH)，以及 (b) 在验证在 Solana 上销毁 WETH 代币的证据后释放存入的 ETH。在这种情况下，攻击者可能会通过对任一链进行 51% 攻击并还原块来获利：

首先，攻击者会将销毁收据的证明发送到以太坊上的桥接合约（即，在 Solana 上销毁 WETH 代币之后）以提取 ETH 存款。在这种情况下，有效性检查将通过，因为交易包含在经过验证的区块头中。

但是，如果对 Solana 的 51% 攻击成功，则很容易撤回包含销毁交易的区块，并使其看起来好像之前的提款从未发生过。这将使攻击者可以自由地将 Solana 上的 WETH 换成其他代币或使用交易所转换为法定货币。

这些类型的攻击突出了跨链通信中的固有弱点。事实上，Vitalik Buterin 在下面描述了这种攻击的另一种变体，对跨链网桥用户造成类似的后果：

Vitalik Buterin 描述的与桥相关的 51% 攻击的变体

然而，如果桥接 TVL 统计数据可以作为依据，黑客攻击的风险不会阻止用户使用跨链桥接探索新的生态系统。因此，开发安全互操作性的解决方案——就像去信任桥所承诺的那样——对于实现多链生态系统至关重要。

在 Infura，我们正在为 web3 构建一个多链的未来，并支持 10 个网络，包括 Ethereum、Polygon、Optimism、Starnet，并将继续不断添加新链。我们每天都看到新的 L2 出现，例如 Base，Coinbase 在 OP Stack 上构建的新 L2，以及正在构建的新 zk-rollup ConsenSys。随着新链的出现，我们期待看到互操作性如何随着去信任桥的支持而成熟，并将在那里提供区块链应用程序扩展所需的弹性基础设施和数据可用性