跨链桥:资产如何在区块链之间流动(不被盗取)
Source: Dev.to
🎄 圣诞快乐,大家!
第 20 天的 60 天“Web3”系列
什么是跨链桥?
跨链桥是 看不见的高速公路,让资产和数据在本来相互隔离的区块链之间流动。
可以把每条区块链想象成一个拥有自己语言(协议、共识规则、状态)的城市。
- Ethereum、Arbitrum、Optimism、Base、Solana、Avalanche、Cosmos 区域… 各自使用不同的协议。
- 大多数链 无法原生互相通信,因此资产和信息只能停留在它们被创建的链上。
用户通常不会直接决定“我今天想使用 Ethereum 主网”。
他们更关注 想要的使用体验:
- “我想要更低的 gas 费。” → L2(Arbitrum、Optimism、Base…)
- “我想要特定的 DeFi 收益或 NFT 生态系统。”
- “我想把 stablecoin 转移到费用更低的链上。”
跨链桥的作用在于:
- 在另一条链上使用类似 ETH 的价值,而无需在中心化交易所卖出。
- 让协议能够构建跨多链的体验(例如,在一条链上提供流动性,在另一条链上提供 dApp 前端)。
简而言之,互操作性 = 在碎片化的多链世界中连接流动性、应用和用户。
锁定‑&‑铸造(或销毁‑&‑铸造)思维模型
大多数跨链桥遵循 锁定‑并‑铸造 或 销毁‑并‑铸造 流程。
示例:从 Ethereum → Polygon 桥接 1 ETH
| 步骤 | 操作 | 发生了什么 |
|---|---|---|
| 1️⃣ | 将 1 ETH 发送到以太坊上的桥接合约。 | 该 ETH 被 锁定 在智能合约(或托管方)中。 |
| 2️⃣ | 桥在 Polygon 上铸造 1 包装 ETH(wETH‑风格代币)。 | 包装代币 代表 你对已锁定 ETH 的所有权。 |
| 3️⃣ | 在 Polygon 的 DeFi 中使用包装 ETH,就像使用原生代币一样。 | 你可以在 Polygon 上进行交易、借贷、质押等操作。 |
返回以太坊
- 将 1 包装 ETH 发送回 Polygon 上的桥。
- 包装代币在 Polygon 上被 销毁。
- 原来的 1 ETH 从以太坊合约中 解锁 并返还给你。
关键要点
-
原始代币很少离开源链;它们保存在合约或托管方控制的钱包中。
-
真正流动的是 代表性代币(包装/锚定代币)。
-
类比:
你把外套交给衣帽间(锁定)。
他们给你一张票(包装代币)。
你在场馆内凭票使用。
用完后,你交回票并取回外套。
Source: …
桥梁背后的信任模型
桥梁主要在 你信任谁 和 消息如何被验证 这两方面有所不同。
1️⃣ 集中式 / 运营商控制的桥梁
-
由公司或小型多签(例如 5/9 签名者)运行。
-
用户信任运营商:
- 安全地持有锁定资产。
- 正确地铸造/销毁包装代币。
-
示例:Binance Bridge、某些 wrapped‑BTC 模型、特定的集中式跨链服务。
| 优点 | 缺点 |
|---|---|
| 使用体验简单,通常速度快。 | 单点故障——密钥被泄露或运营商消失可能导致资金被盗。 |
2️⃣ 去中心化 / 无信任桥梁
-
使用 智能合约、轻客户端或密码学证明 来从另一条链验证事件。
-
信任 底层协议和验证者集合,而不是单一运营商。
-
示例:Connext、Hop、PoP / 基于轻客户端的桥梁。
| 优点 | 缺点 |
|---|---|
| 安全性更接近底层链。 | 更复杂,可能更慢或更昂贵。 |
3️⃣ 面向消息的桥梁
-
关注 消息,而不仅仅是代币转移。
“此地址在链 A 上锁定了 X 代币。” “如果链 A 上满足条件,则在链 B 上执行此操作。” -
代币桥接成为 更广泛消息层 上的一个使用案例。
学习者的要点: 每个桥梁都有 信任模型。你始终在信任 某人 或 某事——关键是 谁 以及 在何种条件下。
知名桥接攻击 (2022‑2023)
| 桥接 | 约损失 | 失败原因 |
|---|---|---|
| Ronin Network (Axie Infinity) | ~$624 M | 验证者密钥泄露(验证者集合规模小)。 |
| BSC Beacon Bridge | ~$566 M | 证明验证中的漏洞 → 攻击者铸造了额外的代币。 |
| Wormhole | ~$326 M | 签名验证错误 → 铸造了无背书的包装资产。 |
| Nomad | ~$190 M | 智能合约升级漏洞允许任何人复制粘贴交易并提取资金。 |
- TRM Labs(2022 年底)报告了 13 起桥接攻击,累计损失约 ≈ $2 B——虽少但规模巨大。
- 某些分析估计,桥接相关事件在特定时期的 Web3 攻击历史中,占被盗资金的 ~70 %。
为什么桥接是诱人的目标
- 巨额的流动性池 位于源链上(所有锁定代币集中在同一处)。
- 单一漏洞或密钥泄露 即可让攻击者获取整个池的控制权。
从用户的角度来看,跨链桥接 不仅仅是转账——它增加了多层风险:
- 智能合约风险 – 桥接合约中的漏洞会导致锁定资金被攻击。
- 密钥/验证者风险 – 多签或验证者集合被泄露后,可随意抽干或铸造资产。
- 经济风险 – 若对桥接的信任崩塌,包装资产可能出现脱钩(de‑peg)现象。
在使用桥接前需要问的问题
- 谁控制锁定的资金?
- 公司?多签?协议 DAO?
- 桥接是否经过审计?
- 由谁审计?何时审计?审计范围有多广?
- 如果桥接下线会怎样?
- 还能退出吗?是否有后备机制?
新手准则: 桥接就像使用 第三方托管人——应像在交易所存放资金一样谨慎对待。
Source: …
对构建者的影响
如果你正在构建以下任意内容:
- 在 多个链 上运行。
- 需要 来自以太坊的流动性(在 L2 或其他 L1 上)。
- 希望用户在使用体验中 “桥入” 或 “桥出”。
…即使你认为自己只是把一个小部件嵌入 UI,也是在 做关于桥的设计决策。
为什么桥对你的产品很重要
| 方面 | 影响 |
|---|---|
| 安全假设 | 你的应用可能本身安全,但如果提供流动性的桥出现故障,用户仍会亏损。 |
| 用户体验 | 需要额外步骤、多个签名、两条链上的 gas 费用,可能出现卡住的交易。 |
| 可组合性 | 包装资产 vs. 原生资产;跨协议族的支持。 |
TL;DR
- 跨链桥 连接孤立的区块链,实现更低的 gas 费用、新的 DeFi 收益以及更低费用的稳定币转移。
- 大多数使用 锁定‑铸造 / 销毁‑铸造 模型:原始代币保持锁定,包装后的代币进行转移。
- 信任模型 从中心化运营商到完全去信任、基于消息的设计不等。
- 桥攻击 已导致数十亿美元的损失;风险源于巨额的流动性池和单点故障。
- 桥接前,要询问谁控制资金、桥是否经过审计以及退出策略是什么。
- 对开发者而言,桥的选择影响安全性、用户体验和可组合性——应视为核心架构决策。
理解跨链桥
开发者应该做的事
- 了解任何桥接方案的信任模型。
- 向用户清晰传达假设(例如,“资金由 X 托管;以下是风险概况”。)。
- 在有更安全的替代方案时予以考虑(官方原生桥 vs. 不明第三方桥)。
初学者的思维模型
桥接大体上是一个 IOU 系统。
- 您的原始资产仍锁定在 Chain A 上。
- 您在 Chain B 上收到一个 IOU(包装代币)。
- 如果管理该 IOU 的系统出现故障,您的索赔可能得不到兑现。
为什么这很重要
- 桥中锁定的 TVL 越多 → 诱饵越大 → 黑客攻击动机越强。
- 使用桥接始终是在 便利性 与 相对于基础链的额外风险 之间进行权衡。
桥接在学习路线图中的位置
| 天数 | 主题 | 关键要点 |
|---|---|---|
| 17 | 稳定币 | 价值锚定 |
| 19 | 预言机 | 连接现实世界与区块链的数据桥 |
| 20 | 资产桥 | 在区块链之间转移资产 |
它们共同说明 Web3 不仅仅是链——还有使这些链可用的连接组织(预言机、桥接、消息层)。
类比
- 区块链 = 各自拥有规则的孤立城市。
- 跨链桥 = 让资产和信息在城市之间流通的高速公路。
大多数桥 并不直接转移您的硬币;它们在一条链上锁定资产,并在另一条链上铸造包装版本,从而引入新的 信任与安全假设。了解桥的工作原理以及可能的失效方式至关重要,除非您不想在下一个头条新闻的黑客攻击中失去“跨链”代币。
进一步展望:Layer 0 & Layer 3
- Layer 0 – 像 Cosmos 和 Polkadot 这样的网络,在基础层就内置了互操作性。
- Layer 3 – 应用专用链和 rollup,位于技术栈的更高层。
如果桥接是我们加装的高速公路,Layer 0 和 Layer 3 则是从一开始就为城市设计道路。
第20天后仍然感到困惑?
关注 Medium 和 Twitter:Web3 for Humans 以获取更多更新。