CHA:安全跨链不用愁?一文了解跨链代币标准xERC20

7 月 25 日,Layer 2 互操作性协议Connext宣布推出跨链代币标准xERC20(ERC7281),旨在提高代币跨链的安全性。该协议由Connext创世贡献者Arjun提出。而 Arjun 的灵感则来自Multichain漏洞的影响扩散。

自7月7日以来,从Multichain流出的资金总额高达2.65亿美元,分布在Ethereum、BNBChain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam链。其中6582万美元已经被Circle和Tether冻结,1,296,990.99 ICE(约162万美元)被代币发行方销毁。

对此,Arjun 认为,桥接代币面临着来自系统性的风险,其背后潜在的问题是——代币主权。

安全团队:LARP发生Rug Pull,代币价格下跌超80%:金色财经消息,据CertiK安全团队,北京时间2022年7月27日,$LARP代币跌幅超过80%,该项目已被确认为欺诈项目。部署者出售了最初铸造的LARP代币,获取了大约2.8万美元(20个ETH)。所得资金通过Aztec Private Rollup Bridge转移。请用户们保持警惕。[2022/7/27 2:40:30]

目前,代币发行者通常选择两种桥接方案:

1. "典型"的桥接(如rollup bridges),并与Connext或Hop等流动性网络合作。 这比较安全,但需要流动性,会带来滑点和高流动性成本。

2. 使用第三方mint/burn系统,如Multichain或 L0 OFT。 这解决了流动性问题,但却将发行者永远锁定在底层桥接器的安全性上,它还会破坏可替代性:例如,通过 Arbitrum的桥接器,就会产生“不同”的代币。

安全公司:BNB Chain上NFT游戏ZOO Crypto World的NFT存在对敲交易:金色财经消息,BlockSec发推称,检测发现BNB Chain上NFT游戏ZOO Crypto World的NFT存在对敲交易(WashTrade),请投资者注意风险。[2022/4/20 14:36:23]

那为什么不让多个桥接器使用同一个代币?Arjun解释,这对安全性和可替代性都不利,如果两座网桥在 L1 上各持有 100 USDT,就不能只通过一座网桥进行 200 USDT 的 L2 向 L1 转账。 如果两座桥都被黑客攻击,这 200 USDT 都会丢失。

xERC20从第一性原理重新思考桥接,当桥接器被黑客攻击时,代币发行者会受到惩罚。 这意味着代币发行者应该决定:哪些代币是 "典型" 、 支持的桥接、每个桥接的风险承受能力,这些思考统称为“代币主权”。

Cobo安全团队详解Stargate漏洞:可能导致伪造的交易receipt通过MPT验证:3月29日消息,Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析,称原始漏洞代码在进行MPT 验证时,没有限制pointer 在proofBytes 长度内,这个漏洞有可能让攻击者伪造hashRoot,导致伪造的交易receipt 可以通过MPT 验证。最终可造成的后果是,在预言机完全可信的前提下,Relayer 仍可以单方面通过伪造receipt 数据的方式来实现对跨链协议的攻击。

值得注意的是,此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码,是整个LayerZero及上层协议(例如Stargate)正常运作的基石。Cobo安全团队还表示,LayerZero项目的关键合约目前大都还被EOA控制,没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏,也可能会导致所有上层协议的资产受到影响。[2022/3/29 14:24:49]

目前已经有:MakerDAO的DAITeleport机制、fraxfinance的FraxFerry、circle的 CCTP、tBTC_project、AngleProtocol考虑到代币主权的问题了,只不过,以上这些例子都是高度定制的。

公共区块链在企业界有很大发展潜力,但仍需要求努力确保安全性等方面:Forrester Research在安永的一份报告中指出,大多数公司认为区块链技术是提高业务绩效、保持数据完整性的解决方案,这可能会带来新的收入或业务模式。其他区块链用例包括改进供应链管理、支付支持流程和文档流数字化的效率。然而,该报告指出,加入另一家公司创建的私有网络的压力,并不是采用区块链技术的关键驱动因素。尽管私有区块链是企业的热门选择,但该报告强调,在所有提到的用例中,对公共区块链网络的兴趣越来越大。安永区块链全球创新主管Paul Brody表示,经典的区块链系统能够做两件传统遗留系统不能做的事情。他说:“首先,区块链可以在没有中介的情况下可靠、正确地执行交易。其次,它们作为一种不可变的记录形式。这两个特性都是私有区块链网络所不具备的。” Paul Brody解释说,按照定义,私有区块链网络需要中介。此外,他说,由于独立系统上没有足够的节点,因此这些系统可能永远不会被视为不可变的记录存储。显然,公共区块链在企业界有很大的发展潜力,但仍需努力确保安全性,可伸缩性,法规要求等。(Cointelegraph)[2020/5/16]

而xERC20是对ERC-20接口的简单、最小化扩展:

现场丨加州伯克利大学教授:目前智能合约安全主要还在应用层:金色财经现场报道,6月26日在圣何塞会议中心举行的Blockchain Connect会议上,加州伯克利大学教授, Oasis创始人兼CEO Dawn Song表示:“当讨论安全的时候,要注意安全的不同层面。是链的安全、交易所的安全还是智能合约的安全?目前来看应用层面的安全是智能合约安全的主要的方面,但很多应用方面的问题我们之前已经遇到过了,我们也已经积累了很多技术去解决这种安全问题,应该了解到真正需要解决的问题,然后找到对应的解决方式。”[2018/6/27]

通过代币发行方允许列表中的桥接器调用代币的burn/mint 接口。

灵活设置铸币限额。

“Lockbox”:一种简单的封装合约,可整合主链代币的流动性,并为现有的 ERC 20 提供直接的采用途径。

根据这项建议,代币的所有权将从桥接器(规范或第三方)转移到代币发行者自己手中。

代币发行者决定为特定域(可以是 L1 或 L2)支持哪种桥接器,并随着时间的推移对不同选项的安全性越来越有信心,而不断调整自己的偏好。如果某个桥接器被黑客攻击或存在漏洞,发行者的风险将被限制在该桥接器的费率上限内,发行者可以无缝地将桥接器除名,而无需与用户一起经历痛苦且耗时的迁移过程。

桥接器现在可以在安全性方面展开竞争,为特定代币获得更好的发行人定义的费率限制,激励它们采用最佳的安全性和信任最小化实践;

桥梁不再能垄断流动性,这种策略不对称地有利于拥有大量资金用于激励的项目;

跨域代币转移不再产生滑点,从而为用户带来更好的可预测性,也为开发者提供了更便捷的跨域可组合性途径;

与添加许多新域相关的流动性和安全性可扩展性问题得到缓解。新的加密货币不再需要为每个受支持的资产启动流动性——这一点尤为重要,因为我们正在快速迈向一个拥有成千上万互联域名的世界。

通过 Lockbox 封装器兼容所有现有代币;

广泛支持 burn/mint 接口的现有第三方桥接器;

常用典型桥接器。在大多数情况下,Arbitrum、Optimism、Polygon、ZkSync 和 GnosisChain,都有支持 xERC 20 的直接(无权限)途径。

在Ethereum Magicians 论坛,开发者 auryn表示其总体上支持这项建议,但也有一小部分顾虑:

对于没有治理层的代币来说,这该如何运作?比如 WETH。

这就给了那些有治理机制的代币发行者一些额外的,也许是不必要的治理权力。在某些情况下,发行者可能无法或不愿实际行使这种权力。

这也可能意味着需要一些元治理层来决定哪个账户应该对给定的代币拥有桥接治理权,因为你不能只依赖于 owner() 的存在,而且每个代币的 owner() 都是正确的。

Arjun对此回应,该提案的核心目标是解决流动性/可流通性和安全性之间的权衡问题,尤其是对于长尾资产而言,因为这些代币无法从有机交易量中获得足够的手续费收入来维持许多不同链的 LP。WETH 并不存在这个问题,因为除了 USDT 和 USDC 之外,它是最常见的桥接资产之一。

“从长远来看,我认为像 wstETH 这样的 LSD 有可能被用作跨链交互的 "传输 "层,和/或 WETH 将完全被 ETH 的标记版本所取代。”

此外,另一位开发者 gpersoon和auryn 都认为,持续跨链部署和管理代币会增加管理开销。对此Arjun提出以下解决方案:

首先,围绕控制已部署的跨链代币的治理风险已经存在。但是,这些代币目前是由造币桥所拥有,而不是由项目所拥有。这是这种方法试图解决的关键问题之一;

管理跨链代币的实现与 DAO 控制自己的跨链协议所涉及的功能基本相同。越来越多的 DAO 已经在使用多重标识和/或规范桥(canonical bridges)实现这一功能;

即使在规范桥上引入依赖性也不太理想。该提案在设计时主要考虑了rollups的情况,在这种情况下,信任规范桥进行治理的争议较小。不过,根据目前 DAO 运行的实际数据,这个问题可以通过哈希(Hashi)等多消息聚合(MMA)方法来解决,和/或使用可配置的跨链消息乐观延迟,在此延迟范围内,DAO选举产生的安全委员会可以否决欺诈消息。

据最新消息,Connext表示,今天通过Connext部署xERC20s的项目未来可完全兼容最终确定的ERC-7281规范,在链之间实现1:1的代币0滑点转移。此外,DeFi借贷协议Alchemix Finance已采用这一标准。因此,接下来,我们将有机会在实践中充分观察并测试此标准的安全性和易用性。

Odaily星球日报

媒体专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

DOT人工智能:谁拖了中国ChatGPT的后腿?

ChatGPT已经成了全球信息技术产业界毋庸置疑的现象级产品。它以“通用人工智能”的名义,跟人类唠家常,帮人们起草邮件和律师信,回答一些玄奥的终极哲学问题,写一段可用的Python代码,回答一些.

[0:31ms0-2:28ms