跨鏈橋因遭利用而損失的金額,幾乎超過加密貨幣中任何其他類別。
Ronin 橋在 2022 年損失了 6.25 億美元。Wormhole 同年損失 3.2 億美元。Nomad 幾個月後又損失 1.9 億美元。
然而,橋現在卻比以往任何時候都更重要。
TAC、Celo 與數十個其他專案都依賴橋,來連接原本無法彼此溝通的獨立區塊鏈生態系。
要理解為何橋同時既不可或缺又危險,得先從技術層面搞清楚它們實際在做什麼。
重點摘要(TL;DR)
- 區塊鏈橋是一種軟體:在一條鏈上鎖定資產,並在另一條鏈上鑄造等值代幣,讓價值得以在彼此隔離的網路間流動。
- 橋是高價值攻擊目標,因為它們代管被鎖定的資產,有時高達數十億美元,通常放在智慧合約或多簽錢包中。
- 主要有四種橋的設計(鎖定鑄造、銷毀鑄造、流動性池與輕客戶端驗證),各有不同的安全性權衡。
- 多數大型駭侵事件,利用的是驗證者金鑰遭竊、預言機被操縱,或智慧合約邏輯漏洞,而不是攻破底層區塊鏈本身。
- 以零知識證明為基礎、信任最小化的新一代橋設計,正在縮小攻擊面,但目前沒有任何一條橋是完全無風險的。
區塊鏈橋實際在做什麼
兩條區塊鏈在預設情況下,彼此是完全隔離的系統。
Bitcoin (BTC) 對 Ethereum (ETH) 一無所知。Ethereum 也無法原生讀取 Solana (SOL) 的狀態更新。
每條鏈各自處理自己的交易、維護自己的帳本,並獨立達成共識。它們之間沒有共享記憶體。
橋就是那層軟體,用來創造一種「跨鏈移動」的假象。
實務上,資產並不會真的「從一條鏈搬到另一條鏈」。真正發生的是兩步驟流程:資產在來源鏈被鎖定(或銷毀),並在目標鏈鑄造(或釋放)對應的代幣。
橋的協議會協調這兩個事件,並保證它們是相互關聯的。
橋並不會把你的代幣瞬間傳送到另一條鏈。它是在一邊鎖住代幣,在另一邊印出一張欠條(IOU)——安全關鍵永遠是:誰控制那把鎖、誰有權印那張欠條?
這個差異在安全性上極為重要。
原始資產是被某個地方託管著的。那個託管點,就是攻擊面。
這個託管究竟是智慧合約、由驗證者委員會控制的多簽錢包,還是一套密碼學證明系統,幾乎決定了這條橋有多安全。
延伸閱讀:Bitget 一年內阻擋 1.5 億次網攻,新報告揭露細節
四大主流橋接設計
並不是所有橋都以同樣方式運作。現在實際上線運行的橋,大致有四種主流架構,每種在安全性、速度、資本效率與去中心化之間,做出不同權衡。
鎖定鑄造(Lock-and-Mint) 是最常見的設計。使用者把代幣送到來源鏈上的智慧合約,代幣會被鎖定。橋的驗證者集合觀察到這筆存入,並指示目標鏈鑄造該代幣的「封裝版」。在 Ethereum 上的 Wrapped Bitcoin(WBTC)就是這樣運作。早期許多 Layer 2 網路上的跨鏈 ETH 也是如此。這種封裝代幣代表對原始被鎖定資產的請求權。當使用者要回到原鏈時,就把封裝代幣銷毀,來源鏈上的鎖便會釋放。
銷毀鑄造(Burn-and-Mint) 則用在代幣發行方可以直接控制多條鏈上的供給時。這種情況不再用封裝機制,而是在來源鏈上銷毀代幣(減少該鏈供給),再在目標鏈上重新鑄造。Circle 的 USD Coin (USDC) 跨鏈傳輸協議 CCTP 就採用這種設計。因為是由 Circle 本身授權鑄造,攻擊者並沒有一池可竊取的被鎖代幣,但你等於完全信任 Circle。
流動性池橋(Liquidity Pool bridges),例如 Hop Protocol 和 Across Protocol 採用的方式,則不一樣。它們不是鎖定資產再鑄造封裝代幣,而是依賴流動性提供者(LP),在兩邊各自持有原生代幣。使用者在來源鏈存入,目標鏈上的某個 LP 會立刻用自己持有的原生代幣支付給他。之後,LP 透過協議獲得補償。這種方式速度較快,也避免封裝代幣問題,但依賴充足的流動性,並引入 LP 的對手風險。
輕客戶端驗證(Light-Client Verification) 則是信任最小化、也最難實作的設計。這裡,目標鏈會直接在智慧合約或 ZK 電路裡,執行來源鏈共識的密碼學證明。不需要外部驗證者委員會,數學本身就能證明這筆存款確實發生。跨 Cosmos (ATOM) 鏈使用的 IBC(Inter-Blockchain Communication)標準,大致接近這種模式。像 Succinct 的 SP1 和 Polyhedra 的 zkBridge 等 ZK 型橋,更進一步利用零知識證明,以較低成本驗證狀態轉移。
延伸閱讀:HIVE 以零利率借入 1.15 億美元,押注非比特幣挖礦轉型
為什麼橋承擔了這麼多風險
橋的攻擊面,本質上不同於單一區塊鏈的攻擊面。像 Ethereum 這樣的鏈,是由數千億美元的質押 ETH 和數十萬個驗證者保護。要攻破它,必須同時攻下相當大比例的驗證者集合,成本幾乎高得難以想像。
橋的驗證者集合通常小得多。為 Axie Infinity 遊戲側鏈服務的 Ronin 橋,當時只有九個驗證節點。攻擊者只需要控制其中五個,就能授權提款。北韓國家級駭客組織 Lazarus Group 用釣魚與假工作邀約等手法,拿下了五把私鑰,進而授權 6.25 億美元的假提款。底層的 Ethereum 和 Ronin 鏈本身完全沒被動到。
Ronin 駭侵事件並不是打破了一條區塊鏈,而是打破了一個「九選五」的驗證者委員會,其中五把金鑰被不安全地保管。這座橋在設計上就是最薄弱的一環。
這就是外部驗證式橋的結構性問題。它們的安全性並非繼承自所連接的那些鏈,而是一套額外、往往更小且較少實戰驗證的系統。橋上代管的價值越多,就越吸引攻擊者;但它的安全模型卻不會自動隨託管資產規模一起成長。
2022 年 2 月的 Wormhole 漏洞,在機制上雖然不同,結果卻相似。攻擊者在 Wormhole 的 Solana 智慧合約中找到一個漏洞,使他能偽造「守護者簽名驗證」事件。他讓合約誤以為有 12 萬枚 ETH 已在 Ethereum 存入,實際上並沒有,卻在 Solana 上鑄造了價值 3.2 億美元的封裝 ETH。這次沒有任何驗證者被攻陷,漏洞出在合約邏輯本身。Wormhole 的背後支援方 Jump Crypto 在 24 小時內填補了缺口,避免市場崩盤,但根本性的安全問題並未因此消失。
延伸閱讀:Polymarket 使用者因前端攻擊損失 310 萬美元,CFTC 調查持續
驗證者與預言機扮演的角色
大多數不是純輕客戶端的橋,都仰賴某種形式的外部觀察者,來確認存款是否發生,並授權對應的鑄造或釋放。
這些觀察者名稱各異——validators、relayers、guardians、attestors——但功能相同:監看一條鏈,並把狀態回報到另一條鏈。
信任問題始終是:要付出多大代價,才能讓這些觀察者說謊?
在多簽模式中,答案是「攻下足夠多的金鑰」。在預言機模式中,答案可能變成「操縱預言機回報的價格或區塊資料」。在權益證明驗證者模式裡,答案則是「取得足夠的質押份額,掌握超過門檻的多數」。
LayerZero 採用的模式,是讓每個應用自行配置一組預言機與中繼者,建立「應用專屬安全」而非共享橋的驗證者集合。這把風險從「一條橋出事,所有人陪葬」轉移成「每個應用各自承擔自己的風險」,在隔離性上是實質進步,但也把更多安全配置責任丟給開發者。
Axelar 則使用一個自家權益證明網路,由其驗證者觀察跨鏈事件。橋的安全性因此繫於 Axelar 代幣的質押價值,類似一條 Layer 1 區塊鏈,但範圍專注在跨鏈訊息傳遞。
根本的挑戰在於:若不跑對方鏈的完整節點,你就無法原生驗證那條外部鏈的狀態,而這非常昂貴。輕客戶端與 ZK 做法用密碼學解決了這問題;其他所有模式,都多少需要信任某個中介會誠實回報。
延伸閱讀:以太幣跌破關鍵支撐後,是否將跌向 1,000 美元?
ZK 證明如何改變橋的安全版圖
零知識證明,是長期來看最有希望解決橋「信任問題」的技術。一個 ZK 證明,允許一方向另一方證明某個陳述為真,例如「這筆交易已被包含在 Ethereum 上一個最終確定的區塊裡」,而驗證者無須自己重放所有計算。
套用到橋的情境,這代表目標鏈可以驗證來源鏈的一個事件… 從密碼學的角度來看,這一切都能在不信任任何外部驗證者的前提下完成。證明本身就是證實。一個被入侵的驗證者無法偽造有效的 ZK 證明,也沒有私鑰可以被竊取,安全性完全來自於數學。
實務上的挑戰在於計算成本。為整條鏈的共識(例如以太坊權益證明機制中的 BLS 簽名聚合,涵蓋數千個驗證者)產生 ZK 證明,需要相當可觀的計算工作,不過隨著 ZK 證明技術的成熟,這個成本已大幅下降。像 Succinct Labs、=nil; Foundation 和 Polyhedra 等團隊,正在打造專門為區塊鏈狀態驗證優化的證明系統。
目前在 CoinGecko 上很熱門的 Layer 1 專案 TAC,對這個問題採取了特定的解法:它透過混合型驗證者與證明模型,把以太坊的 EVM 開發者生態系,橋接到 TON(The Open Network)與 Telegram 的使用者基礎。像 TAC 這類專案,凸顯了橋接需求在實務上的存在;Telegram roughly 擁有 9.5 億月活躍用戶,要把這些使用者接到與以太坊相容的應用上,就必須依賴正是這種由橋接所提供的跨鏈基礎設施。
ZK 橋目前的取捨在於延遲。為一個已最終確定的以太坊區塊生成證明,可能需要數分鐘。對於需要快速最終性確認的應用來說,仍經常會偏好帶有欺詐證明窗口的樂觀式橋接,接受較長的提領延遲(在主流樂觀式 rollup 上通常是 7 天),來換取設計上的簡單。
延伸閱讀:Chainlink’s Wallet Record Turns LINK’s $9 Rebound Into The Main Test
原生橋接 vs 第三方橋接
當你在第一層(Layer 1)與其第二層 rollup 之間移轉資產時,你通常使用的是「原生橋接」(native bridge),也就是由該 rollup 團隊自己建置與維護,並且與 rollup 本身安全模型深度整合的橋接。Arbitrum (ARB) 的原生橋、Optimism (OP) 的原生橋,以及 zkSync 的原生橋,都屬於這一類。
原生橋接繼承了 rollup 本身大部分的安全保證。在樂觀式 rollup 上,任何詐騙性提領都能在 7 天的欺詐證明窗口期內被提出挑戰。在 ZK rollup 上,只有在該批次交易的有效 ZK 證明被貼到以太坊後,提領才算最終確定。相較大多數第三方橋接,這些保證要強得多。
取捨在於,原生橋接只支援單一路徑:從 L1 到 L2 再回來。它們無法把以太坊資產橋到 Solana,也不能直接在兩條獨立的 L2 之間移轉資產。若要跨生態系移轉,例如從以太坊到 Solana,或從 Arbitrum 到 Polygon (POL),使用者就必須依賴第三方橋接,而這類橋接則帶有前面提到的驗證者與智慧合約風險。
因此在實務上形成了一個簡單的分類方式:當安全性是優先考量、且只在 L1 與 L2 之間移轉時,使用原生橋接;當你願意承擔額外風險,並需要跨生態系移轉時,則使用經過審計、且有紀錄可查的第三方橋接。在使用任何跨鏈轉移服務前,最低限度的盡職調查,就是檢查該橋接是否曾由可信的資安公司(例如 Trail of Bits、OpenZeppelin、Certik、Spearbit)進行審計,並檢視其過往是否發生過被攻擊的歷史。
延伸閱讀:Russian Hackers Found A Signal Weak Spot In Recovery Keys
誰實際上需要使用橋接
對多數一般的加密貨幣使用者而言,橋接並非必需。如果你在中心化交易所持有 Bitcoin (BTC) 或 Ethereum (ETH),且只想要承擔價格波動的曝險,你根本不會碰到任何橋接。
當你想使用的應用程式所在的鏈,與你的資產所在鏈不同時,你就需要橋接。如果你的 ETH 在以太坊主網上,但你想使用 Arbitrum 上的 DeFi 協議,你會透過 Arbitrum 的原生橋接把資產橋過去。如果你想在 Solana 原生應用上使用最初在以太坊發行的 USDC,那你就需要使用第三方橋接。
開發跨鏈應用的開發者,是橋接的最重度使用者。任何想要在多條鏈之間聚合流動性的協議,或任何希望讓玩家能在不同網路間共用資產的遊戲,都需要在產品中內建橋接基礎設施。這也是為什麼像 LayerZero、Axelar、Wormhole 和 Hyperlane 等專案,會把自己定位為「全鏈(omnichain)訊息協議」而不只是橋接:它們是提供給開發者的基礎設施,而不只是讓終端使用者搬運代幣的工具。
對一般使用者來說,實務建議很單純:在 L1 與主要 L2 之間移轉時,使用官方的原生橋接。至於第三方橋接,則把曝險金額限制在你可以承受損失的範圍內,檢查其審計紀錄,並優先選擇那些在有相當鎖倉總價值(TVL)情況下,已經無事故運作至少一年的橋接。「慢慢橋、少量橋」並不是膽小,而是忠實反映了當前技術實際存在的風險輪廓。
延伸閱讀:Claude Fable 5 May Return As Washington Softens Anthropic Standoff
結語
跨鏈橋接解決的是一個真實且無法迴避的問題。
區塊鏈是主權系統。沒有橋接,整個加密世界就會變成一堆彼此孤立的孤島,資產與應用無法互通。
橋接所實現的互操作性,支撐了大多數 DeFi、遊戲,以及像 TAC 這類專案正在積極打造的多鏈生態。
這些駭客攻擊事件,並不代表橋接在本質上就是壞掉的。
它們反而證明,早期橋接設計在安全性上做出的取捨過於激進——小型驗證者委員會、未經審計的智慧合約邏輯、對預言機的依賴——而這些設計,與後來橋接實際承載的價值並不相稱。
每一次大型攻擊,都推動產業走向更好的設計:更大的驗證者集合、形式化驗證、基於 ZK 的證明系統,以及能直接繼承 L1 安全性的原生 rollup 橋接。
接下來請看:PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile