摘要
跨链桥是在不同的区块链之间进行互操作、价值转移的“桥梁”,对公链和联盟链均是重要应用。例如,“Alice想在以太坊上’用’自己的比特币”,从“市值第一的区块链”转移资金到“生态更丰富的第二大区块链”即是一个常见的需求。
假如Bitcoin和以太坊两大公链是传统银行,则实现方式是,拥有这两家银行账户的银联,在信息层面,转发Alice的需求,日终时,再与它们做资金层面的轧差。原因是银行不向彼此公开账本,以太坊无法直接得知Alice是否真的在比特币拥有可供转账的足额存款。
事实是比特币和以太坊不是传统银行,而是两条采用不同记账体系的分布式账本。它们的账本向彼此公开,但维护以太坊账本的节点众多,并且去中心,不受某一个主体控制。因此,开头例子在区块链世界的主要难点在于:需要有验证人让以太坊节点就“Alice把在比特币的资金转到了以太坊”这件事上达成共识、验证其真实发生。
区块链世界的“转账”依靠“跨链桥”实施。最早的把比特币桥接到以太坊上的跨链桥项目是wBTC,它先让Alice在自己信任的“托管机构”存入比特币,当托管商监测到这一点后,为她在以太坊上“铸造”等额的“封装(wrap)”比特币——wBTC,赎回同理。可以看出,由于比特币和以太坊的账户体系不互认,wBTC并非“真正”的比特币,而是跨链桥为Alice发放的“比特币存款证明”,是比特币的合成资产,只能在价格上模拟比特币。
跨链与跨行转账的不同之一:公开与匿名。跨链交易中,源链与目标链的账本公开,跨链桥本身或亦公开。我们认为,POA模式下,由于验证人节点不公开竞选,而由跨链桥指定,属于保守公开,本报告以Multichain举例;POS模式中,验证人公开竞选,属于积极公开,还可叠加乐观验证,增强安全性,本报告以cBridge举例;TEE是计算机中可用于存储私钥分片等私密信息的区域,难以攻破,叠加零知识证明等技术,可以实现验证人身份的匿名,属于对跨链桥公开性的救济,有望减少内部串谋与外部攻击风险,本报告以Bool Network举例。跨链桥中每一个资金流经之处、每一个需要目标链投注部分信任之处,都可能会被攻击,常见风险是:1)源链智能合约:私钥泄露或被盗,黑客将收款人设为自己;2)验证人:被控制或被伪造,签署未经授权的交易;3)目标链智能合约:黑客凭空铸造封装代币,或将收款人设置为自己。
跨链桥与跨行转账的不同之二:去信任,无央行、银联等“超级”可信第三方,流动性割裂。假设有100个跨链桥发行了美元稳定币USDC在本桥上的封装代币,则USDC将有100种,例如Multichain的anyUSDC,用户持有这些封装代币,需要销毁它们、赎回自己的USDC时,只能向自己封装代币的发行跨链桥寻求兑付而非其他跨链桥,除非这些跨链桥建立了合作,而我们没有看到此类合作。这在一定程度上割裂了加密资产的流动性。在割裂的事实下,部分交易所强行混同跨链桥封装代币和原生代币的名字,会导致用户轻视跨链桥资产的风险。
投资建议:加密资产交易服务商:Coinbase、Square、Robinhood等。
风险提示:区块链技术发展不及预期,区块链监管趋严。
1. “传统”金融世界,跨行转账如何实现?
“Alice想把放在A银行/链的钱,转到自己在B银行/链的账户/地址,或者打到Bob在B银行/链的账户/地址上”,由于我们的银行体系,并非由某一家商业银行完全垄断,对用户而言,跨行转账是刚性需求。同理,在众多公链林立的区块链世界,跨链转账也是刚性需求。但是,两种体系中的跨主体转账,在实现方式上,存在巨大差异。从这些差异,我们可以体会到区块链作为一种金融科技技术的特殊性。本报告致力于从跨链桥验证方式的几种分类,通过分析等Multichain、Allbridge、Orbit Bridge、cbridge、Synapse等区块链项目,阐述这一点。
在开头的例子中,实现跨行转账的主要限制是,A、B银行的账本都不向对方公开,因此,B银行无法直接得知用户在A银行的存款证明是否真实以及用户在A银行是否有可供转账的足够存款。这里的解决方案是,由A、B银行均开设了账户的清算机构,例如,银联,从中转发用户的支付指令,完成转账在信息层面的传递,日终时,再由银行同两边的银行轧差。
抽象来看,A、B银行是出于对第三方——银联会在稍后和自己轧差的共同信任,实现了跨行转账。
2. 区块链世界,跨链交易如何实现?
2.1 资产跨链的一般业务流程
根据Paka Labs的分类,存在两种跨链桥:任意消息跨链桥(Arbitrary Message Briage,AMB)和资产跨链桥。其中,资产跨链桥又分为封装代币桥(Wrap桥)和流动性兑换桥(Swap桥)。本报告重点阐述资产跨链桥:
1、 用户想在目标链“使用”源链资产,跨链桥需要封装代币(wrap)。这种情形下,封装代币并非真正的源链资产,是跨链桥为用户向源链存入资产开具的“存款证明”,是源链资产的合成资产,只能在价格上模拟源链资产。
这种模式下,跨链桥的业务流程大致是:
1) “用户”向“源链智能合约”存入资产,资产被锁定;
2) “跨链桥验证人”通过监测“源链”,确认“用户”已存入资产;
3) “跨链桥验证人”对“用户存入资产”交易签名;
4) 被签名的“用户存入资产”交易被转发到目标链;
5) “目标链智能合约”为“用户”铸造、封装资产。
当用户使用完封装资产,需要赎回自己在源链存入的资产时,流程相反:“目标链智能合约”会销毁封装资产,用户随后解锁、赎回源链资产。
2、用户想将源链资产兑换(swap)为真正的目标链资产。这种情形下的目标链资产原生于目标链,不能由跨链桥封装,则跨链桥通过吸纳流动性流通者的资金(Liquidity Provider,LP),在源链和目标链均建立流动性池,来为用户完成兑换。
这两种情况,都需要跨链桥验证人监测:1、用户在源链存入了资产;2、用户发出了在目标链获得资产的需求。
2.2 跨链经典场景:从比特币桥接到以太坊
如果“Alice想把自己的比特币’转’到以太坊上”,如何实现?显而易见,从“市值第一的区块链”转移资金到“生态更丰富的第二大区块链”是一个常见的需求,是跨链桥的经典实践场景。
2.2.1 超过1%比特币,被以太坊智能合约锁定
根据DuneAnalytics统计,截至12月6日:
市场规模:至少252607个比特币(约合43美元)被以太坊智能合约锁定,用于铸造封装比特币(wrappedbitcoin),相当于比特币总量的1.2%。
竞争格局: wBTC市场占有率最高,为93%,其底层资产为210045个比特币,Hbtc和renBTC分别以6%、1%市占率位居第二、第三。该竞争格局自2020年4月以来,较为稳定。
2.2.2 wBTC:有KYC,市占率约93%
wBTC(wrapped BTC,封装后的比特币)是最早把比特币桥接到以太坊上的跨链桥项目,上线于2019年1月。
wBTC采用“托管商-商户-用户”三层架构,不直接面向用户。其中:1)托管商:目前是钱包服务商Bitgo;2)商户:负责分发wBTC,起初是去中心交易协议Kyber和Republic Protocol,当前有钱包服务商imToken、交易所BTSE等多个,只有“商户”地址可以“销毁”wBTC,“销毁”后,商户链上地址的wBTC余额减少、wBTC供给减少。另外wBTC还设立了去中心化管理组织(DAO),它由多重签名钱包控制,wBTC DAO有权决定wBTC的发展和商户名单的增减。
wBTC“用户”向“商户”兑换wBTC的流程是:1)“用户”请求“商户”向自己发送wBTC;2)“商户”对“用户”执行“了解你的客户(KYC)”和“反洗钱(AML)”检查,确认用户信息;3)“用户”和“商户”执行原子兑换,“用户”向“商户”发送比特币,“商户”向“用户”发送wBTC,用户也可以在交易所直接用BTC购买wBTC。
wBTC商户在以太坊上铸造封装代币wBTC的过程是:1、“商户”发起交易,授权“托管商”向自己的以太坊智能合约地址转入wBTC;2、“商户”向“托管商”在比特币区块链的地址存入比特币;3、“托管商”等待比特币网络的6个区块确认(此时可以确认商户已经存入比特币),然后调用以太坊上的wBTC智能合约,为“商户”在以太坊的地址,铸造等值于商户存储比特币金额的wBTC。
相反,wBTC商户销毁wBTC的过程是:1、“商户”发起“销毁wBTC”交易;2、“托管商”在以太坊网络等待25个区块确认;3、“托管商”向“商户”在比特币的地址发送比特币;4、“托管商”签名确认“销毁wBTC”交易,wBTC被正式销毁。
wBTC作为一种“托管式”跨链桥方案,优劣势明显。
优势:设置商户作为中间层,避免了用户直接与托管商交互带来的糟糕体验。
劣势:用户需要向wBTC商户透露个人信息,以满足“了解你的客户(KYC)”和“反洗钱(AML)”要求;如果托管商作恶,则用户资产风险较大。
2.2.3 hBTC:有KYC,市占率约6%
HBTC是加密资产交易所Huobi全球站推出的以太坊上的比特币代币,遵守1:1的担保资产原则,允许用户随时使用HBTC与比特币兑换。根据Huobi 7月的说明,过去一段时间,Huobi已开始将HBTC逐渐迁移至火币信托有限公司进行数字资产保管,火币信托将会周期性提供HBTC资产的抵押资产证明。根据htokens.finance披露,截至11月9日,火币信托共抵押了12971个比特币,共发行了12970个HBTC,能实现1:1全额兑付。
由于Huobi是中心化交易所,它会对用户做“了解你的客户(KYC)”核查。
2.2.4 renBTC:无KYC,市占率约1%
renBTC由Ren Protocol推出。用户可以通过钱包MetaMask使用Ren Bridge在以太坊区块链上“锁定”铸造比特币。具体来说,比特币会被发送到Ren Protocol的虚拟机(RenVM),储存在由去中心化节点网络托管的账户群中,该虚拟机会根据发送的比特币数量自动铸造符合以太坊智能合约标准ERC-20的代币renBTC。
与本节中的wBTC和hBTC不同,在renBTC的案例中,Ren Protocol和MetaMask都不会对用户做“了解你的客户(KYC)”核查,而无从得知用户的链下、乃至线下信息。
3. 跨链与跨行转账的不同之一:公开与匿名
区块链作为分布式账本,与银行账本的重要不同在于账本公开,任何人都可以查看区块链账本的所有记录,这意味着跨链交易中源链和目标链可以互相查看账本,与此同时,维护目标链账本的节点众多、不受某一个主体控制。
另外,区块链作为公开账本的另一个特性是匿名,这使得其对网络实施攻击的风险较低。
3.1 释义:源链与目标链账本公开,跨链桥本身或亦公开
跨链转账的主要限制是:如何让目标链节点就“用户把在源链的资金转移到了目标链上”这件事达成共识。
根据验证方式的不同,跨链桥Connext创始人Arjun Bhuptani将跨链桥的验证方式分为以下几类:外部/原生/本地验证等。
外部验证,目标链借助外部/第三方主体(如PoA/PoS网络中的节点)来验证用户在源链上的资金和支付情况。
原生验证,目标链自己的所有验证人验证交易,例如在目标链运行源链的轻节点(也被称作“轻客户端”)。轻节点只存储源链交易的区块头,但由区块头可以验证交易是否真实发生。
本地验证,指源链与目标链中的相关参与方互相验证对方,一般通过哈希时间锁等技术实现。哈希时间锁,指可以在链上创建条件交易,比如“Alice有1个比特币,想在约定时间内,跟Bob兑换等价的以太坊,除非Bob完成对Alice的支付,则Alice向Bob转账1个比特币的交易超时、失效”。
我们认为完善经济模型是区块链走向成熟的重要特征,跨链桥也不例外,而衡量跨链桥业务规模的关键指标是跨链交易金额。我们从哔哔News统计出的已经发行项目代币的71个跨链桥,找出了跨链交易金额排名位居前十的项目。我们发现,它们大部分采用的验证方式是外部验证,原因可能是这种方式易于部署、可扩展性强。我们选取了Multichain和cbridge具体剖析,还选取了Bool Network,分析TEE(可信执行环境)作为一种较为罕见的安全措施所采用的具体运行逻辑。
(Proof of Stake,权益证明)”和“可信执行环境(TEE)”等类别。不考虑开源与否,我们认为,比较起来:
POA模式下,由于验证人节点不公开竞选,而由跨链桥指定,属于保守公开,本报告以Multichain举例。
POS模式中,验证人公开竞选,属于积极公开,还可叠加乐观验证,增强安全性,本报告以cBridge举例。
TEE是计算机中可用于存储私钥分片等私密信息的区域,难以攻破,叠加零知识证明等技术,可以实现验证人身份的匿名,属于对跨链桥公开性的救济,有望减少内部串谋与外部攻击风险,本报告以Bool Network举例。
3.1.1 Multichain:保守公开,验证人节点地址公开,竞选不公开
Multichain是跨链龙头,截至10月21日,其累计跨链金额为883亿美元,排名靠前。Multichain所采用的验证方式即为外部验证中的POA(权威证明)。
Multichain跨链桥选择信任的验证人是由Multichain指定节点共同维护的多方安全计算网络(Multi Party Computation,MPC)和门限签名方案(TSS),原因是:
1、使用单个签名发送资产或与跨链智能合约交互的风险显而易见——私钥可能被单个主体控制,多签的问题也依然明显。
1)签署地址公开。
2)多个签名比单个签名消耗的Gas费更多。
2、门限签名方案(Threshold Signature Schemes,TSS)可以解决上述问题——它将密钥分解,从n个可能的签名者中,最低只需t个(n/2+1≤t≤n)签名者就可以签署交易,至少t个签名者串通好,才能伪造签名。具体来说,它拥有以下优点:
1)私密,因此没有人知道哪些签名者是那t个签名者;
2)高效,因为只有一个签名在链上,看起来像一个常规签名。
根据Multichain官网,截至2022年12月6日,它选择了21个节点,它们各自掌握负责签名的私钥的一部分,并且不能拼凑出完整的签名,因此完整的签名不会被截获。
需要强调的是,这21个节点不需要向Multichain抵押任何资产,也并不公开接受报名,可以推断出,尽管Multichain称它们之间相互独立,但它们都由Multichain指定,在某种程度上,Multichain多方安全计算网络(MPC)的共识机制接近于POA(Proof of Authority,权威证明),即靠项目方指定的有限主体达成共识,去中心化程度有限。
3.1.2 cBridge:积极公开,验证人公开竞选
在我们统计的跨链桥中,cBridge跨链交易额位居前列,截至2022年10月21日,为110亿美元,它采用的验证方式创新性较强,并且较为多样。例如,cBridge默认的验证人是基于权益证明(POS)共识机制的状态守护网络SGN(State Guardian Network)。
SGN的权益证明(POS)共识机制意味着:
1、用户质押项目代币(CELR)或授权给他人,即可参与到cBridge跨链桥的验证中。值得注意的是,cBridge的权益证明(POS)网络节点可以分得跨链桥手续费,捕获价值。
2、如果节点作恶,其资金将被罚没一部分,或被驱逐出验证网络。
3、用户质押的项目代币(CELR)价值越高,SGN安全性越大。
尽管权益证明(POS)机制为cBridge提供了高效且经济激励明确的验证方式,是它的默认验证方式,cBridge也提供另一种验证方式——乐观验证。
乐观验证借鉴了以太坊二层网络的乐观汇总(Optimistic Rollup)方式,它假定交易各方是诚实的,除非在窗口期内被质疑/挑战。在外部验证模式下,网络需要一定比例的验证人(如n-of-m)都是诚实的,而在乐观验证模式下,只要有一个挑战者是诚实的即可,当然,乐观验证的效率相对较低。
乐观验证是一种特殊的验证模式,它很难作为一种独立的验证方式存在,但可以与外部验证结合,也可以与原生验证结合(参见Rainbow Bridge)。
这种模式下,cBridge验证网络不会立即处理消息,而是使用两阶段提交确认模式:消息会先提交到“隔离区”一段时间,类似于“公示期”,只有在一段时间,没有质疑发生,才会被确认,才能被目标链的应用程序执行。
cBridge声称支持对权益证明(POS)和乐观验证两种方式的组合,但截至12月2日,尚未启用乐观验证功能。
3.2 风险:仅10月上半月,已有6亿美元跨链资金被盗
根据Chainalysis统计,10月1日至13日,至少3个跨链桥项目被黑客窃取超过6亿美元资金,占当月区块链产业被盗资金的82%,占2022年截至10月13日区块链产业被盗资金的64%。
3.3 风险产生的原因:账本公开,攻击成本低;匿名,攻击代价小
作为资金中转站,跨链桥是区块链产业的基础设施,也是安全事件频发之地,备受黑客“青睐”。和其他区块链业态一样,跨链桥的故事开始于账本公开,也深受其累。因为账本公开,跨链桥可以借助多方安全计算(MPC)、门限签名、乐观验证等密码学技术,由目标链信任的节点或网络,查看源链智能合约,不经银联等第三方信用中介,实现跨主体“转账”。但也同样由于公开,跨链桥在诸多环节展露出脆弱性。
统计截至11月10日被盗资金超过1亿美元的安全事件,可以看出,跨链桥每一个关键角色、每一个资金流经之处、每一个需要目标链投注部分信任之处,都可能会被攻击,常见风险是:1、源链智能合约:私钥泄露或被盗;2:验证人:被控制或被伪造,签署未经授权的交易;3、目标链智能合约:黑客凭空铸造封装代币、将收款人设为自己。
尤其需要注意的是,由于区块链没有信用中介,遇险无人兜底,用户风险自负,跨链桥也一样,目前仅少数跨链桥项目为用户提供部分赔付的保险资金,远非行业标配。
另外,区块链作为公开账本,仅显示用户地址信息,链上非实名,链下身份也难以被追踪,黑客攻击代价小。这在传统金融体系,是难以想象的。
3.4 安全措施:应用TEE与零知识证明技术(如Bool Network)
提高跨链桥的安全性成为当下重要议题,不少项目着眼于此。Bool Network是一个去中心“签名机”,在功能上类似于传统网络银行转账体系中的U盾服务商。作为目标是任意消息跨链(AMB)的基础设施,Bool Network致力于服务跨链桥、预言机、资管等协议层应用,支持异构消息跨链。
Bool Network试图通过多个步骤的密码学加持,确保验证人可信、外防黑客、内防串谋,使跨链桥控制验证人进而挪用用户资产的风险大大降低:
1、验证人的产生去中心。只需抵押Bool Network项目代币布尔,并部署TEE服务器,就可以成为跨链验证者候选人。需要注意的是,Bool Network本身是一条采用NPoS(Nominated Proof of Stake,提名权益证明)的公链,成为跨链验证者,不一定意味着成为Bool Network公链的记账人/矿工。
2、验证人的私钥分片存储于TEE。TEE(Trusted Execution Environment,可信执行环境),是计算机CPU上的一块区域。这块区域给数据和代码的执行提供了更安全的空间,保证机密性和完整性。目前主流的TEE方案是Intel SGX和ARM Trustzone,Bool Network选择的是前者。
3、验证人的当选随机、身份匿名。Bool Network通过零知识证明Ring VRF算法,从验证人候选人中,抽签选择每个epoch(时期)的验证人委员会。Ring VRF会把验证人的身份“包裹”起来,实现匿名。
4、当选验证人轮值,私钥分片,权力有限。Bool Network验证人委员会通过多方安全计算(MPC)算法实行轮值制,每个委员会的任期只有一个epoch,过期验证人的身份失效、TEE将删掉当期的私钥分片、系统将重新抽签选择委员会。
同样是由于采用多方安全计算算法(MPC),任何一个验证人都不掌握完整私钥,而只拥有私钥的分片。验证人委员会通过门限签名(Threshold Signature Scheme,TSS)机制达成共识。
Bool Network尚在内测阶段,计划:1)2022年第四季度发布测试网,实现以太坊虚拟机(EVM)生态内的任意消息跨链;2)2023年第一季度发布主网测试版;3)2023年第二季度支持非以太坊虚拟机(EVM)项目,例如MOVE生态,如果源链和目标链都不支持部署智能合约,则跨链路径延长,例如从比特币跨链到DOGE,跨链路径可能为“BTC-EVM-DOGE”。
4. 跨链与跨行转账的不同之二:去信任
4.1 释义:无央行、银联等“超级”可信第三方,流动性割裂
跨链交易不同于跨行转账的第二点在于,在传统金融世界,联通银联的商业银行众多,并且都通过央行、银联体系实现大范围的跨行转账,而在跨链交易中,不同跨链桥向用户发放不同的“存款证明”(指封装代币),不存在央行、银联等“超级”可信第三方,而这些“存款证明”没有共同兑付方,各自为政。
假设有100个跨链桥发行了美元稳定币USDC在本桥上的封装代币,则USDC将有100种,例如Multichain的anyUSDC,用户持有这些封装代币,需要销毁它们、赎回自己的USDC时,只能找当时为自己封装代币的跨链桥,能否兑付成功在很大程度上取决于该跨链桥的安全性。用户很难持有一家跨链桥的封装代币向其他跨链桥寻求兑付,除非这些跨链桥建立了合作,而我们尚未看到此种合作,某种程度上,这样的合作意味着两座跨链桥的合并。
这在一定程度上遏制了加密资产流动性的拓展。
4.2 乱象:混同“跨链桥封装代币”与“原生代币”名字
此类问题类似于“挂羊头卖狗肉”,无论在中心化或去中心化交易平台,一旦忽略或混淆名称及合约时就可能发生资产损失。
4.2.1 去中心交易平台:StellaSwap与BeamSwap
区块律动发现,基于Beam部署的去中心交易所StellaSwao和BeamSwap交易页面所列示的USDC并非USDC原生代币,而是由跨链桥发行的封装代币,即这些交易所强行混同了跨链桥封装代币和原生代币的名字,这会导致用户轻视跨链桥资产的风险。
4.2.2 中心化交易平台:pGala风波
pGala风波暴露出中心化交易所也会混同跨链桥资产与原生代币。
这一风波的背景是:pNetwork跨链桥可以将符合以太坊代币标准ERC20的GALA代币跨链到币安链上、将它封装为符合币安链代币标准BEP20的pGala代币,某天它发现自身存在合约私钥被明文写入合约的问题,需要通知源链代币发行方(Gala Games)、上线了源链代币(GALA)的去中心交易所(DEX)和中心化交易所(CEX),但这些主体之间存在协调问题。
具体来说,pNetwork跨链桥发现自己部署合约时错误地将私钥明文写入了合约,决定对自身发动“白帽攻击”,即增发556亿个目标链上的封装代币(pGala,约合10亿美元),并将其在目标链链上交易所Pancake Swap的“pGala/BNB”流动性池抛售,以耗尽该池的BNB流动性(规模约40万美元),将pGala代币价格“砸”至“归零”,再部署发行新的pGala代币,并把它空投给向此池买入旧pGala代币的用户。在开始白帽攻击行动之前持有pGALA的用户,都将在桥恢复后获得新的pGALA,然后可以将其跨链回以太坊主网,获取原始的GALA代币。
部分平台未及时处理上述信息,而在接收用户从链上转移资金到本所链下账户时,并不会区分它们是从哪条跨链桥跨过来的,也就是统一将它们视作源链代币(本例中为GALA),但事实上,目标链封装代币(本例中为BEP20 pGala)与源链代币(GALA)有价差。最终,平台并未受到大量资金损失,因为它很快下架了跨链桥代币,但并非无人为这场“乌龙”买单,他们至少包括在火币上购入了旧GALA的用户,不管其目的是否为“恶意”套利,都不得不接受“手中旧GALA作废、只能等待平台上架新GALA”的事实。
风险提示
区块链技术发展不及预期。区块链属于新兴科技产业,其技术发展进度存在较强不确定性。
区块链监管趋严。
区块链产业天然具有全球性,其在各地面临不同且不断明确的监管