作者:Sandeep编译:佳欢,ChainCatcher这个周末令人揪心。三周内发生了三起跨链桥安全事件。我这几天没怎么纠结于某一次攻击的具体经过,更多是在思考隐藏在所有这些事件背后的规律。
4 月 1 日的 Drift,损失 2.85 亿美元。4 月 13 日的 Polkadot Hyperbridge,一次重放证明就铸造出 10 亿枚毫无支撑的代币,要不是目标链流动性本就稀薄,损失会远超这个数。4 月 18 日的 KelpDAO,损失 2.92 亿美元。在此之前,还有 Wormhole、Ronin、Harmony、BNB Bridge、Nomad 以及 Multichain。
首先要明确,我对在这个充满压力的周末里积极应对的每一个团队都致以充分的敬意。我无意在任何人处理突发事件时落井下石。我们都曾经历过类似的处境,现在正在发布补丁的团队非常努力。Kelp 的紧急暂停多签机制阻止了两次后续的资产抽干尝试,否则损失会再增加 2 亿美元。
我想在这里强调的是,这个周末发生的事情并非仅仅是 Kelp 的问题。它源于整个行业一直在做的一个设计选择。目前大多数加密货币的跨链基础设施仍然像一个公证处。无论你叫它 DVN、中继者集合、预言机委员会还是多重签名,本质都是一小撮委员会在监控着一条链上的活动,并在另一条链上为其作证。一旦这个委员会或者它底层的喂价数据遭到破坏,这个公证处就会毫无顾忌地为谎言背书。
协议名称在变,但信任假设从未改变。@moo9000 给它起了一个最贴切的名字:多签金融(MultisigFi)。这种说法很到位。无论你把底层的委员会叫什么,信任模型都是一样的,过去三周的事件让人痛苦地认识到,这种模型在规模化应用时是如何崩溃的。
最近一项针对活跃 LayerZero 应用的 Dune 数据扫描发现,47% 的应用运行在 1/1 的验证者配置下,45% 运行在 2/2 配置下,只有不到 5% 的应用采用了更强大的安全配置。这意味着对于目前投入生产的十分之九的跨链应用来说,1 到 2 个被攻破的签名者就是站在用户资金和攻击者之间的全部安全防线。
5 年前,这或许还是一个说得过去的默认安全设置。当时的跨链桥只转移数百万美元的资金,也没有人以工业级的规模对它们进行探测。但这在 2026 年是毫无道理的。同样的设计现在转移的可是数十亿美元的资金!而且,AI 辅助工具正在以机器速度持续不断地发现运营配置漏洞。攻击面已经指数级扩张,安全模型却原地踏步。
明确地说,这不是一篇挑起 Polygon 与其他所有人对立的文章。多年前,我们在自己的产品中也构建了这种信任假设的早期版本。我们从中吸取了教训,整个行业也从中吸取了教训。一路走来,我们中的一些人继续在委员会模式下进行建设,另一些人则把整个公司押在了 ZK(零知识证明)上。我们对 ZK 的押注不是空谈:2024 年 7 月就为 Agglayer 桥接推出了 ZK 证明,投入生产一年多,每天都在大规模结算跨链交易。
老实说,这个周末发生的事只是进一步坚定了我对这个论点的信心。ZK 证明接管了以前委员会所做的工作。它就像一张微小的加密收据,证明某个计算确实被正确执行了,地球上的任何机器都可以在几毫秒内对其进行验证。要么证明成立、转账结清,要么数学验证失败、资产纹丝不动。没有操作员可以被贿赂,没有 RPC 可以被投毒,没有法定人数需要去协调,也没有人会在周六凌晨 3 点坐在房间里决定你的钱是否安全。在此之上,就是我们所说的
[ChainCatcher]
跨链桥漏洞揭示加密基础设施中的系统性缺陷
最近一系列跨链桥安全事件不仅代表了孤立的故障,更揭示了加密行业在多链环境中处理信任和安全问题时所面临的根本性危机。在价值2.92亿美元的KelpDAO黑客事件之后,Sandeep的反思直指跨链基础设施中已成为不可接受现状的核心问题。
多重签名金融范式:纸牌屋
Sandeep将当前跨链基础设施描述为”多重签名金融(MultisigFi)”是 painfully accurate. 对小型委员会的依赖——无论是DVNs、中继集合、预言机委员会还是多重签名——创造了单点故障,而这些故障正日益大规模地被利用。数据显示92%的跨链应用依赖于1/1或2/2验证器配置,这一点尤其令人震惊。在桥接安全应随着数十亿风险价值而发展的时代,这些配置代表了五年前可能可以接受但现在却近乎犯罪性的疏忽安全实践。
经济激励措施不协调。随着桥接处理更多价值,它们成为更具吸引力的目标,但安全模型并没有相应扩展。Polkadot Hyperbridge事件中,由于目标链上流动性不足,铸造了10亿个不受支持的代币,这说明了即使是最复杂的系统,当市场条件的假设被证明不正确时,也可能 spectacularly 失败。
市场影响和代币价格影响
这些重复的违规事件正在侵蚀整个跨链生态系统的信心。我们正在看到向质量的转移,其中:
1. 拥有强大ZK基础设施的项目(如Polygon的Agglayer)正在获得相对优势
2. 随着”多重签名金融”架构项目安全担忧的加剧,其代币价格正面临更大的下行压力
3. 风险溢价正被纳入跨链依赖项目的估值中
最直接的影响是对流动性的影响。正如KelpDAO案例所示,紧急多重签名防止了额外2亿美元的损失,市场对任何脆弱迹象的敏感性日益增强。这造成了一个恶性循环,即安全事件引发流动性危机,进而使剩余资产更容易受到二次攻击。
系统性失败后的投资机会
从投资角度来看,这些事件正在创造市场分化,从而带来机会:
1. ZK基础设施项目:Polygon成功实施ZK证明已超过一年,证明了这种方法可行性。以零知识证明为基础构建的项目有望从安全性较低的选择中捕获市场份额。ZK证明的数学确定性消除了基于委员会系统中不断失败的人为因素。
2. 安全优先中间件:为跨链基础设施提供安全审计、监控和事件响应的公司将看到需求增加。KelpDAO团队成功阻止二次攻击凸显了准备充分的安全措施的价值。
3. 去中心化预言机:从简单的多重签名模型转向具有经济激励和削减机制的去中心化预言机网络的项目可能会表现优于其安全性较低的同行。
无法忽视的风险
当前情况提出了几个投资者必须谨慎应对的系统性风险:
1. 传染风险:随着桥接变得更加互联,一个系统的故障可能会迅速传播到整个生态系统,可能导致多条链上的级联故障。
2. 监管反弹:每次重大安全事件都增加了监管干预的可能性。监管机构越来越关注桥接基础设施,将其视为潜在的系统性风险点。
3. 保险市场中断:随着损失增加,保险公司可能会变得更加严格或获取成本更高,为跨链活动增加额外摩擦。
4. 用户流失:如果对跨链基础设施的信心继续下降,我们可能会看到生态系统回归孤立状态,破坏互操作性的核心价值主张。
前进之路:超越公证人模式
Sandeep支持ZK证明的论点代表了最可行的前进路径,但这并非没有挑战。虽然数学上可靠,ZK技术面临:
– 高计算成本
– 实施复杂性
– 特定操作的验证延迟
然而,这些都是工程挑战,而非根本限制。替代方案——继续使用已被证明 catastrophically 不充分的”多重签名金融”模型——不是一个可持续的立场。随着桥接处理越来越有价值的资产,AI辅助攻击变得更加复杂,基于ZK的安全与基于委员会的安全之间的差距只会扩大。
加密行业已经达到一个拐点,安全不能再被视为事后的想法,而必须成为跨链基础设施的基础。认识到这一点并投资于强大安全模型的项目不仅会保护用户资金,还会从那些继续依赖日益脆弱的基于委员会方法的项目中捕获市场份额。
问题不再是这些”公证人”模型是否会失败,而是何时以及 spectacularly 地失败。对于投资者来说,墙上已经写明了未来:属于那些用密码确定性而非委员会建设的人。