一文詳解跨鏈新範式：optimistic 跨鏈橋

注：原文作者是 Connext 創始人 Arjun Bhuptani，在這篇文章中，他詳細描述了 optimistic 跨鏈橋的工作原理，並將其與其他類型的跨鏈協議進行了一個簡單的權衡對比。作者認為，以 Nomad 為代表的 optimistic 跨鏈橋提供了非常高水平的安全性，同時保留了現有多重籤名跨鏈橋的簡單性和易部署特性，因此，其代表了跨鏈和跨 rollup 通信技術的巨大飛躍。

幾個月前，我們宣布與 Nomad 密切合作，這是一種跨鏈通信協議，它使用欺詐證明（類似於 Optimistic Rollups）來中繼數據跨鏈。

在這篇文章中，我們將深入探討 optimistic 跨鏈橋的工作原理、它們的權衡是什么，以及為什么我們會喜歡這類跨鏈橋。

回顧：互操作性三難困境

互操作性三難困境是一個解釋跨鏈橋權衡空間的模型，它對當今存在的跨鏈通信協議類型進行了一個分類。

去年我們在寫到這個三難困境時，我們根據驗證方式，將跨鏈橋分為了三種類型：

1. 本地驗證（原子互換 & 快速流動性系統）；

2. 外部驗證（多重籤名、MPC、門限籤名、PoS 和驗證者橋）；

3. 原生驗證（輕客戶端區塊頭中繼、rollup 橋）；

在每種情況下，驗證機制都需要從三個非常理想的屬性中權衡並舍棄一種屬性：

1. 信任最小化：在底層鏈之外不添加任何經濟安全假設；

2. 通用性：支持跨鏈傳遞任意數據；

3. 可擴展性：可部署到很多異構鏈，並且只需最少的定制工作；

Optimistic 驗證

與本地、外部或原生驗證的跨鏈橋不同，Optimistic 跨鏈橋探索了一種新的權衡：延遲。

以下是 Optimistic 跨鏈橋的工作方式：

1. 與其他跨鏈橋類似，數據由用戶或 dApp 在源鏈上發布到一個合約函數；

2. 一個名為 updater（更新者）的代理者對包含步驟（1）中數據的 merkle 根進行籤名，並將其發布到源鏈。與 rollup 定序器類似，在發生欺詐事件時，updater（更新者）綁定的保證金可以被罰沒；

3. 此時，任何中繼系統（例如 Gelato、Keep3r、Biconomy 等）都可以在源鏈上讀取此 merkle 根，並將其發布到一個或多個目標鏈；

4. 將數據發布到目標鏈，會啓動一個 30 分鐘的欺詐證明窗口（類似於 optimistic rollup 的退出窗口）。在此期間，任何觀察鏈的人（觀察者）都可以證明源鏈上的欺詐行為，並斷开與目標鏈的通信通道。如果發生這種情況，updater（更新者）的保證金將被罰沒，即他們的資金將被拿走並交給發起爭議的觀察者；

5. 如果在 30 分鐘內沒有出現欺詐證明，則傳遞到目標鏈的數據可被視為最終確定，並可由應用使用。通常，這是通過讓服務提供商（processor）為跨鏈橋提交數據的 merkle 證明，然後利用該數據調用目標鏈上的合約函數來實現的；

因為傳遞的數據完全是任意的，optimistic 跨鏈橋讓我們能夠以最小的信任度構建任何類型的跨鏈應用。這裏舉一些例子：

1. Lock-and-mint（鎖定和鑄造） 或 Burn-and-mint（燃燒和鑄造）代幣跨鏈傳輸；

2. 在單筆無縫的 tx 中跨鏈連接 DEX 流動性；

3. 跨鏈金庫策略管理；

4. 關鍵協議操作，例如跨鏈復制/同步全局常量（如 PCV）；

5. 在不引入預言機的情況下，將 UniV3 TWAP 引入每條鏈；

6. 與鏈無關的 veToken 治理；

7. 元宇宙與元宇宙之間的互操作性；

經濟安全模型

與 optimistic rollups 和狀態通道網絡類似，optimistic 跨鏈橋設計依賴於一組觀察者來觀察鏈並報告欺詐行為。這是一種與外部驗證跨鏈橋完全不同的安全模型，就像 rollup 與側鏈具有完全不同的安全模型一樣。

外部驗證跨鏈橋的加密經濟學

外部驗證（即多重籤名、驗證器、PoS、MPC 或門限籤名）跨鏈橋利用了誠實多數假設，換句話說，系統中的 n 個參與者當中，需要有 m 個正確驗證更新。在加密經濟學術語中，這意味着：攻擊具有 n 個驗證者的外部驗證跨鏈橋的成本，等於破壞或黑掉 m 個驗證者的成本。

需要注意的是，這是一個新的潛在攻擊向量——除非跨鏈橋的經濟安全性大於 51% 攻擊的成本，否則這必然意味着外部驗證的跨鏈橋增加了一個（通常很重要的）信任假設。

如果系統能夠（a）可靠地證明欺詐，並且 (b) 向用戶全額返還可能在黑客攻擊中損失的所有價值，則可以替代地實現外部驗證跨鏈橋的完全經濟安全。換言之，只有當可罰沒的權益（例如 Thorchain 上的 RUNE）價值大於或等於整個系統的 TVL 時，外部驗證跨鏈橋用戶和 LP 的經濟安全才能得到保障。請注意，（a）是一個很強的假設——最終證明欺詐本身，需要一個無需信任的跨鏈通信機制，這使得問題變得有點遞歸。

Optimistic 跨鏈橋的加密經濟學

另一方面，觀察者 + 欺詐證明模式使用了一個誠實者的驗證者假設。換句話說，Optimistic 跨鏈橋只需要系統中 n 個參與者當中的 1 個來正確驗證更新。

攻擊具有 n 個驗證者的 Optimistic 跨鏈橋的成本，等於破壞或黑掉 n 個驗證者的成本。

如果 Optimistic 系統（無論是 rollup、通道或者跨鏈橋）的觀察者是無需許可的（並且我們假設底層鏈是活動的），那么攻擊系統的經濟成本就是無限的。

這是因為無法去確保世界上沒有一個匿名觀察者會去證明欺詐。

這有一個非常有趣的結果：

在一個 optimistic 跨鏈橋中，嘗試欺詐的 EV 總是負的，因為只要底層鏈是安全的，那么再多的錢也無法保證你的攻擊會成功。因此，updater（更新者）需要綁定的可罰沒權益數量只需要足夠高，就可以防止欺詐企圖。

這就是為什么 Optimistic Rollup 定序器只需要綁定 rollup 總 TVL 的一小部分。

故障模型

optimistic 跨鏈橋對外部驗證的跨鏈橋所做的最重要的改進，也許是用活性（liveness）換取安全性。換句話說，只要底層鏈本身是安全的，理論上最壞的情況就是系統停機，而不會造成資金損失。

updater（更新者）DoS 攻擊

與 rollup 定序器類似，如果系統停止籤署更新，中心化 updater（更新者）可能會惡意或意外停止系統。

然而，去中心化 Nomad 的 updater（更新者）是一項相當簡單的任務。一個簡單的示例構造是擁有多個綁定 updater（更新者）（而不是單個 updater（更新者）），並使用循環方法對更新進行籤名，如果給定的 updater（更新者）錯過了“輪值”，則使用故障轉移和罰沒機制。

updater（更新者）欺詐

在 optimistic 跨鏈橋中中繼跨鏈的任何數據，都必須由 updater（更新者）籤名，這意味着系統中的任何欺詐行為，也必然源自 updater（更新者）。

在 optimistic 跨鏈橋中，欺詐總是可以在源鏈上確定性地證明（類似於 ORU 欺詐在 L1 上總是可以證明的）。為此，觀察者只需向源鏈合約提交無效更新的證明，然後導致 updater（更新者）被罰沒。然後，觀察者在 30 分鐘內向目標鏈提交籤名消息，以“斷开”通信通道（在該欺詐數據可以被視為最終確定之前）。

實際上根本不需要證明目標鏈上的欺詐行為。在源鏈上執行此操作，會正確地懲罰 updater（更新者），這首先會抑制欺詐行為，隨後斷开通信通道可以減輕任何潛在的損害。也就是說，觀察者任意斷开通信通道的能力，確實打开了 DoS 攻擊向量，這一點我們將在下面討論。

觀察者 DoS 攻擊

由於任何觀察者都可以在 optimistic 跨鏈橋中發起斷开通信通道，因此觀察者有可能通過 DoS 攻擊斷开連接以永久停止給定的通信通道。請注意，觀察者這樣做，無法從系統中獲得任何好處（任何資金/數據都是安全的），並且這種風險是按通信通道劃分的（即斷开一個通道不會導致整個系統癱瘓）。

Bill，別再斷开我的通道了！

通過為觀察者引入正確的激勵措施，可以長期緩解這種類型的攻擊向量。由於觀察者在正確爭論時會獲得 updater（更新者）的罰沒保證金，我們可以通過為觀察者引入基线稅來減輕觀察者的痛苦，以啓動欺詐證明。該稅需要（a）足夠高以抑制 DoS 攻擊，但（b）與 updater（更新者）的保證金相比也要足夠低，以便觀察者仍然有強烈的動機啓動有效的欺詐證明。另一個簡單的解決方案是，只需將觀察者生成的斷开連接籤名發布到源鏈，如果無法證明欺詐行為，則懲罰觀察者。

目前，Nomad 通過許可制觀察者集來處理這個問題。這改變了系統的經濟安全性，因為現在有一組固定/已知的觀察者可能會遭到攻擊（從而限制了攻擊成本）。然而，我們認為這是一個可以接受的權衡解決方案，因為它有一條直接且高度可信的最小化信任路徑。這種方法也反映了其他防欺詐系統的部署方式：

1. 從歷史上看，狀態通道網絡從一個許可制的觀察者集开始，以減輕 DoS 攻擊的風險，直到可以建立正確的激勵方式。

2. Optimistic rollup 項目目前處於同一類型的引導階段，欺詐證明和爭議尚未激活。雖然這意味着當前的 rollup 更需要被信任，但社區明白這只是一個臨時的“訓練階段”。

鏈活性失敗

我們上面討論的核心假設，是底層鏈本身能夠接受觀察者的交易。對於任何基於欺詐證明的系統，這個假設都是相同的，其中典型的結構有一些證明窗口，觀察者必須在該窗口內完成交易以將其發布到鏈上。

Nomad 已根據對攻擊概率確定鏈的成本的現有研究，將他們的延遲時間參數化為 30 分鐘。我們將在之後的文章中嘗試分解此參數背後的研究和邏輯。

與其他跨鏈橋協議的對比

每個分布式系統都會存在某種形式的權衡，跨鏈也沒有免費的午餐。截至目前，optimistic 跨鏈橋系統最明顯的權衡，是增加了 30 分鐘的傳輸延遲，盡管我們相信，通過使用模塊化設計，將 Connext 分層在 Nomad 的頂部，我們可以緩解這一問題（之後會有更多的介紹）。

M of N 跨鏈橋

如上所述，與外部驗證（多重籤名、門限籤名、MPC 或基於驗證器集）跨鏈橋相比，optimistic 跨鏈橋在安全性和信任最小化方面有了巨大的提升。optimistic 跨鏈橋的 1 of N 安全模型可以緩解與共謀或密鑰泄露相關的破壞性攻擊向量風險。

例如，如果 Ronin 網絡使用的是 optimistic 跨鏈橋，即使其所有密鑰都被泄露了，黑客也無法獲取到價值 6.25 億美元的 Ronin 跨鏈橋資產。

類似的方案還有 LayerZero，它利用了兩個重疊的 m of n 驗證者集，其在功能上只是作為一個更大的 m of n 驗證者集（參與者集合大小和共謀向量變得更難推理，除非兩個集合的所有參與者的身份都已知）。

原子互換 & 快速流動性

本地驗證系統（例如 Connext 當前的 nxtp 實現）雖然像 optimistic 跨鏈橋一樣無需信任且易於部署，但無法支持跨鏈傳遞任意數據。

從這個意義上說，除了資金轉移和簡單的合約執行之外，本地驗證跨鏈系統的表現都不如 optimistic 跨鏈橋。另一方面，本地驗證系統對於減輕 optimistic 跨鏈橋的其他權衡（即延遲）來說是非常有用的。

區塊頭中繼

像 IBC 這樣的輕客戶端區塊頭中繼系統，通過在鏈 A 的 VM 內驗證鏈 B 的共識來工作。區塊頭中繼為我們提供了理論上最佳的信任假設，因為每個基礎鏈的驗證器集相互驗證，而無需額外引入第三方（與外部驗證的跨鏈橋不同）或關於活性的假設（例如 optimistic 跨鏈橋）。這類跨鏈系統也不受 optimistic 跨鏈橋的延遲權衡影響。

當然，區塊頭中繼系統並非沒有自己的挑战：

1. 它們必須為每條新鏈/共識機制構建自定義輕客戶端。

2. 對於以太坊 PoW 共識機制而言，驗證共識的成本非常高，因為內存要求很高。

3. 由於回滾風險，區塊頭中繼方法可能不適用於 optimistic rollup，但是，這絕對是一個开放的研究領域！

ZK（零知識證明）跨鏈橋

雖然目前還沒有可用的去信任化 ZK 跨鏈橋，但我們在理論上可以基於零知識證明構建跨鏈橋，使用與區塊頭中繼相同的策略來驗證跨鏈的數據。

與區塊頭中繼方法類似，ZK 跨鏈橋具有很好的去信任和低延遲屬性，它們也可能比常規的區塊頭中繼系統要便宜得多，因為證明共識不需要在鏈上發生。然而，在這樣做的過程中，ZK 跨鏈橋引入了一些新的權衡：

1. 與輕客戶端區塊頭中繼方法類似，ZK 跨鏈橋必須部署自定義策略來驗證每條鏈的共識，並且它們可能根本不適用於 optimistic rollup 二層網絡。對於 ZK 跨鏈橋，考慮到並非所有鏈都使用相同的密碼學原語，這一點更具挑战性。

2. 實際上，不可能在零知識的情況下證明所有共識模型。在這些情況下，需要某種類型的最終性工具，這會增加新的信任假設。

除此之外，ZK 跨鏈橋在驗證成本和數據可用性方面，可能還有其他的缺點，盡管這些缺點尚未得到徹底的研究。

跨鏈的未來是樂觀的

Optimistic 跨鏈橋提供了非常高水平的安全性（信任最小化屬性），同時保留了現有多重籤名跨鏈橋的簡單性和易部署特性。

出於這個原因，我們對 Nomad 感到非常興奮，並認為它代表了跨鏈和跨 rollup 通信技術的巨大飛躍。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。