跨鏈橋在加密貨幣領域因被攻擊而損失的金額,幾乎比任何其他類別都要多。
Ronin 橋在 2022 年損失了 6.25 億美元。Wormhole 同年損失 3.2 億美元。Nomad 幾個月後又損失了 1.9 億美元。
然而,橋比以往任何時候都更重要。
TAC、Celo 以及數十個其他專案,都依賴橋來連接原本無法互相溝通的不同區塊鏈生態系。
要理解為何橋既不可或缺又危險,必須先從技術層面了解它們實際在做什麼。
重點摘要(TL;DR)
- 區塊鏈橋是一種軟件:把資產鎖在一條鏈上,並在另一條鏈上鑄造等值代幣,讓價值可在隔離的網絡之間流動。
- 橋是高價值攻擊目標,因為它們代管被鎖住的資產,有時高達數十億美元,通常存於智能合約或多簽錢包。
- 主要有四種橋設計(鎖定鑄造、燃燒鑄造、流動池,以及輕客戶端驗證),每一種都有不同的安全權衡。
- 大部分重大駭侵都利用了驗證者私鑰被盜、預言機被操縱,或智能合約邏輯漏洞,而不是攻擊底層區塊鏈本身。
- 採用零知識證明的「最小信任」新設計正在縮小攻擊面,但目前沒有任何橋是完全無風險的。
區塊鏈橋實際在做什麼?
兩條區塊鏈在預設情況下是完全隔離的系統。
Bitcoin (BTC) 完全不知道 Ethereum (ETH) 的存在。Ethereum 也無法原生讀取 Solana (SOL) 的狀態更新。
每條鏈各自處理自己的交易、維護自己的帳本,並獨立達成共識。它們之間沒有共享記憶體。
橋就是建立「跨鏈移動」幻象的軟件層。
實務上,資產並不是真的「從一條鏈移動到另一條鏈」。實際上是一個兩步驟流程:資產先在來源鏈被鎖定(或銷毀),然後在目標鏈上鑄造(或釋放)一個對應的表示。
橋協議負責協調這兩個事件,並保證它們是互相綁定的。
橋並不會瞬間把你的代幣傳送過去。它是在一端把代幣鎖起來,然後在另一端印一張 IOU——安全問題永遠是:誰控制鎖,誰有權印?
這個差別對安全性極為重要。
原始資產其實是被託管在某個地方。該託管位置就是攻擊面。
這個託管是透過智能合約、多簽錢包(由一組驗證者控制)、還是透過密碼學證明系統,幾乎決定了這座橋的安全程度。
延伸閱讀:Bitget 在一年內阻擋了 1.5 億次網絡攻擊,新報告揭示
四種主要橋設計
並非所有橋都以同樣方式運作。現今主流實際上線的橋,大致可分為四種架構模式,每一種在安全性、速度、資本效率與去中心化之間做出不同取捨。
鎖定鑄造(Lock-and-Mint) 是最常見的設計。使用者把代幣匯入來源鏈上的一個智能合約,代幣在那裡被鎖定。橋的驗證者集合觀察到這筆存款後,指示目標鏈鑄造該代幣的「包裝版」。以太坊上的 Wrapped Bitcoin(WBTC)就是這樣運作。早期 Layer 2 網絡上的大部分跨鏈 ETH 也是如此。包裝代幣代表對被鎖原生資產的一種請求權。當使用者想要換回原生資產,就把包裝代幣銷毀,然後來源鏈上的鎖會釋放原資產。
燃燒鑄造(Burn-and-Mint) 則用在代幣發行方能直接控制多條鏈上的供給時。這種情況不會用包裝代幣,而是把代幣在來源鏈上銷毀(減少那條鏈上的總供給),並在目標鏈上重新鑄造新的代幣。Circle 的 USD Coin (USDC) 跨鏈轉帳協議 CCTP 就是這樣運作。由於鑄造行為由 Circle 本身授權,攻擊者沒有一個可被盜走的「鎖定資產池」,但你必須完全信任 Circle。
流動池型橋(Liquidity Pool bridges),例如 Hop Protocol 與 Across Protocol 使用的模式,做法則不同。它們不鎖資產、不鑄造表示代幣,而是依賴在兩端都持有原生代幣的流動性提供者(LP)。使用者在來源鏈存入資產,目標鏈上的流動性提供者會立即支付等值的原生代幣給使用者,然後再透過協議獲得補償。這種方式速度較快,也避免包裝代幗,但依賴充足流動性,並引入了 LP 作為交易對手的風險。
輕客戶端驗證(Light-Client Verification) 是最少信任、但最難實作的設計。在這裡,目標鏈會直接在智能合約或 ZK 電路內,執行來源鏈共識的密碼學證明。不需要外部驗證者委員會,由數學本身證明存款已發生。跨 Cosmos (ATOM) 鏈使用的 IBC(Inter-Blockchain Communication)標準,大致是這種模型。像 Succinct 的 SP1 和 Polyhedra 的 zkBridge 等 ZK 橋,則進一步利用零知識證明,以較低成本驗證狀態轉移。
延伸閱讀:HIVE 剛以零利率借入 1.15 億美元押注反向比特幣挖礦
為何橋集中這麼多風險?
橋的攻擊面,與單一區塊鏈的攻擊面本質上不同。像以太坊這樣的鏈,是由數千億美元規模的質押 ETH 和數十萬驗證者保護。要攻破它,必須同時攻陷相當大比例的驗證者,這在經濟上幾乎不可能。
橋的驗證者集合往往小得多。為 Axie Infinity 遊戲專用側鏈服務的 Ronin 橋,只由九個驗證節點保護。攻擊者只需要控制其中五個,就能授權提款。北韓國家級駭客組織 Lazarus Group 透過釣魚與假求職等手法,攻陷了五把私鑰,並授權 6.25 億美元的假提款。底層的 Ethereum 和 Ronin 區塊鏈從頭到尾都沒有被動到。
Ronin 攻擊事件不是「把區塊鏈駭壞了」,而是擊破了一個九選五的驗證者委員會,其中五把私鑰被不安全地保管。橋本身就是設計上的最弱一環。
這就是外部驗證型橋的結構性問題。它們的安全性不是從所連接的鏈繼承而來,而是由一個獨立、通常更小、也常較少經過實戰檢驗的系統決定。橋代管的價值越多,就越吸引攻擊者,但其安全模型並不會隨託管資產規模自動提升。
2022 年 2 月的 Wormhole 漏洞,在機制上不同,但結果類似。攻擊者在 Wormhole 的 Solana 智能合約中找到一個漏洞,可以偽造「guardian 簽名驗證」事件。他們說服合約相信有 120,000 ETH 已在 Ethereum 存入,實際上並沒有,卻在 Solana 上鑄造了價值 3.2 億美元的包裝 ETH。這次沒有驗證者被攻陷,漏洞在合約邏輯本身。Wormhole 的支持方 Jump Crypto 在 24 小時內補足資金,避免市場崩盤,但底層缺陷並未因此被抹去。
延伸閱讀:Polymarket 使用者在前端攻擊中損失 310 萬美元,CFTC 調查持續中
驗證者與預言機扮演什麼角色?
大部分不是純輕客戶端的橋,都依賴某種外部觀察者,來確認存款已發生,並授權對應的鑄造或釋放。
這些觀察者有不同稱呼——驗證者(validators)、中繼者(relayers)、守護者(guardians)、見證者(attestors)——但功能相同:監看一條鏈,並向另一條鏈回報狀態。
核心信任問題永遠是:要付出多大代價,才能讓這些觀察者說謊?
在多簽模型中,答案是「攻陷足夠多把私鑰」。在預言機模型中,答案可能是「操控預言機回報的價格或區塊資料」。在權益證明驗證者模型裡,答案則是「取得足夠多的質押,控制超過門檻的投票權」。
LayerZero 採用一種模式:每個應用自己配置一組預言機與中繼者,形成「應用程式專屬安全性」,而不是共用一個橋的驗證者集合。這把風險從「一座橋出事,全部遭殃」轉移成「每個應用自己承擔風險」,在隔離性上是實質進步,但也把正確配置安全性的責任更多地壓在開發者身上。
Axelar 則使用一個基於權益證明的自有驗證者網絡,來觀察跨鏈事件。橋的安全性因此綁定在驗證者所質押的 Axelar 原生代幣價值,這與第一層區塊鏈類似,但專注在跨鏈訊息傳遞。
根本難題在於:你若不運行一條鏈的完整節點,就無法原生驗證那條外部鏈的狀態,而這非常昂貴。輕客戶端與 ZK 方案用密碼學解決了這個問題,其餘方法都涉及信任某個中介會如實回報。
延伸閱讀:以太幣跌破關鍵支撐後,是否將走向 1,000 美元?
ZK 證明如何改變橋的安全性?
零知識證明是長期來看,最有希望解決橋「信任問題」的技術之一。ZK 證明允許一方向另一方證明某件事為真,例如「這筆交易已被包含在一個已最終確認的 Ethereum 區塊中」,而驗證者無需自己重放全部計算。
套用在橋上,這代表目標鏈可以驗證來源鏈上的某個事件已發生,而不必完全信任外部驗證者或預言機。 在密碼學層面上,無需信任任何外部驗證者。證明本身就是「見證」。即使驗證者被入侵,也無法偽造有效的 ZK 證明,因為沒有私鑰可被盜取,安全性來自數學本身。
實務上的挑戰是計算成本。要為完整鏈上共識產生 ZK 證明(例如以太坊的權益證明機制中,對成千上萬驗證者的 BLS 簽名聚合)需要大量運算,不過隨着 ZK 證明技術成熟,這個成本已大幅下降。像 Succinct Labs、=nil; Foundation 和 Polyhedra 等團隊,正開發專門為區塊鏈狀態驗證優化的證明系統。
現在在 CoinGecko 上熱度很高的 Layer 1 TAC,就對這個問題採取了一種具體作法:它透過混合驗證者及證明模型,把以太坊的 EVM 開發者生態,橋接到 TON(The Open Network)以及 Telegram 的用戶群。像 TAC 這樣的項目,反映了市場對橋的實際需求:Telegram 大約有 9.5 億月活躍用戶,要把這批用戶接到與以太坊相容的應用上,就需要正是這種跨鏈基礎建設。
ZK 橋目前的取捨在於延遲。為一個已最終確定的以太坊區塊生成 ZK 證明,可能需要幾分鐘。對於需要快速最終性的應用來說,人們仍常常偏好帶有欺詐證明視窗的樂觀式橋,接受較長的提幣延遲(在主要樂觀 Rollup 上通常為 7 天),以換取設計上的簡單。
延伸閱讀: Chainlink’s Wallet Record Turns LINK’s $9 Rebound Into The Main Test
原生橋 vs 第三方橋
當你在 Layer 1 和其 Layer 2 Rollup 之間移轉資產時,你通常使用的是「原生橋」(native bridge):由該 Rollup 團隊自行建置與維護,並與其自身安全模型深度整合的橋。Arbitrum (ARB) 的原生橋、Optimism (OP) 的原生橋,以及 zkSync 的原生橋都屬於這一類。
原生橋會繼承大量 Rollup 自身的安全性保證。在樂觀 Rollup 上,惡意提款可以在 7 天的欺詐證明視窗內被質疑。在 ZK Rollup 上,只有在一個交易批次的有效 ZK 證明被提交到以太坊後,提款才會最終確認。這些保證,比起多數第三方橋要強得多。
權衡之處在於,原生橋只支援單一方向:在 L1 和對應的 L2 之間往返。它們無法把以太坊資產橋到 Solana,也無法直接在兩個獨立 L2 之間移轉資產。若要跨生態系移轉——例如以太坊到 Solana,或 Arbitrum 到 Polygon (POL)——使用者就必須使用第三方橋,而這又帶來前面提到的驗證者與智能合約風險。
這也形成一個實務上的分類方式:當安全性是首要考量時,用原生橋做 L1 與 L2 之間的移轉;當你願意承擔額外風險來進行跨生態系移轉時,則使用有良好紀錄、並已通過審計的第三方橋。在使用任何跨鏈轉帳服務之前,最低程度的盡職調查,是確認該橋是否由可信的安全公司(例如 Trail of Bits、OpenZeppelin、Certik、Spearbit)審計過,並檢視其是否曾有被攻擊的歷史。
延伸閱讀: Russian Hackers Found A Signal Weak Spot In Recovery Keys
誰其實需要用到橋
對多數一般加密貨幣用戶而言,橋不是必需品。如果你在中心化交易所持有 Bitcoin (BTC) 或 Ethereum (ETH),只是想單純持有、追蹤價格波動,你根本不會碰到橋。
當你想要使用的應用,所在的鏈跟你資產所在的鏈不一樣時,你才需要橋。如果你的 ETH 在以太坊主網,但你想用 Arbitrum 上的 DeFi 協議,你就會使用 Arbitrum 的原生橋把資產橋過去。如果你想在 Solana 原生應用上使用最初發行於以太坊的 USDC,你就會用第三方橋。
開發跨鏈應用的開發者才是橋的重度使用者。任何想要在多條鏈上彙整流動性的協議,或想讓玩家在不同網絡之間使用資產的遊戲,都需要在產品裡內建橋接基礎設施。這也是為什麼像 LayerZero、Axelar、Wormhole 和 Hyperlane 這些項目,把自己定位為「全鏈(omnichain)訊息協議」,而不只是一座橋:它們是給開發者用的基礎建設,而不只是讓最終用戶搬運代幣的工具。
對一般用戶而言,實務上的建議其實很簡單:在 L1 和主要 L2 之間移轉時,盡量使用官方原生橋。針對第三方橋,只放入你可以承受損失的金額,檢查它的審計歷史,並優先選擇在有相當 TVL(鎖倉總價值)情況下,至少安全運行一年以上、沒有事故紀錄的橋。「慢慢橋、小額橋」並不是過於保守,而是符合目前技術實際風險輪廓的合理做法。
延伸閱讀: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
最後想法
跨鏈橋是在解決一個真實且無法避免的問題。
區塊鏈是各自主權獨立的系統。若沒有橋,加密貨幣世界就會變成一堆互不相通的孤島,資產和應用彼此之間完全無法互動。
橋帶來的互通性,是大多數 DeFi、鏈遊戲,以及像 TAC 這類項目正在打造的多鏈生態的基礎。
這些駭客事件,並不是橋天生就有問題的證據。
它們顯示的是,早期橋的設計在安全性上做了過度激進的取捨——例如小型驗證者委員會、未經審計的智能合約邏輯、對預言機的依賴——而這些取捨,與橋後來承載的巨額價值並不相稱。
每一次重大攻擊,都推動產業走向更好的設計:更大的驗證者集合、形式化驗證、基於 ZK 的證明系統,以及能直接繼承 L1 安全性的原生 Rollup 橋。
下一篇閱讀: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile