探討跨鏈協議的安全性與去中心化

跨鏈協議的安全性問題近年來備受關注。從過去兩年各區塊鏈上發生的安全事件造成的損失來看，跨鏈協議相關的安全事件損失位居榜首。解決跨鏈協議安全問題的重要性和緊迫性甚至超過了以太坊擴容方案。跨鏈協議之間的互操作性是Web3互聯互通的內在需求。這類協議通常融資規模巨大，總鎖倉價值(TVL)和交易量也在剛性需求的推動下不斷增長。然而，由於公衆對這些跨鏈協議的認知度不高，難以準確評估它們的安全等級。

讓我們先來看一個典型的跨鏈產品設計架構。在Chain A和Chain B之間的通信過程中，由Relayer來執行具體操作，Oracle則負責對Relayer進行監督。這種架構的一個優點是避免了傳統方式中需要第三條鏈（通常不部署dApp）來完成共識算法以及數十個節點驗證的過程，因此能爲終端用戶帶來"快速跨鏈"的體驗。由於架構輕量，代碼量少，且Oracle可以直接使用現成的服務如Chainlink，這類項目容易快速上線，但同時也容易被模仿，技術門檻較低。

然而，這種架構至少存在兩個問題：

1. 將數十個節點的驗證過程簡化爲單一Oracle驗證，安全系數大幅降低。

2. 在簡化爲單一驗證後，必須假設Relayer和Oracle是相互獨立的。但這種信任假設不可能永遠成立，缺乏足夠的去中心化特性，無法從根本上保證二者不會合謀作惡。

有人可能會問，如果開放Relayer，讓更多參與者運行中繼器，是否能解決上述問題？實際上，僅僅增加運行者的數量並不等同於去中心化。允許任何人接入系統只是實現了無需許可（Permissionless），這是市場端的變化，與產品本身的安全性關係不大。Relayer本質上只是負責轉發信息的中介，與Oracle一樣，都屬於可信第三方。試圖通過增加受信主體的數量來提高跨鏈安全性是徒勞的，不僅沒有改變產品的本質特性，還可能引發新的問題。

如果一個跨鏈代幣項目允許修改其使用的節點配置，攻擊者就有可能替換爲自己控制的節點，從而僞造任意消息。這種安全隱患在更復雜的場景下可能會造成更嚴重的後果。在龐大的系統中，只要有一個環節被替換就可能引發連鎖反應。而某些跨鏈協議本身並不具備解決這類問題的能力，如果真的出現安全事故，責任很可能會被推給外部應用。

對於聲稱自己是基礎設施（Infrastructure）的項目，如果不能像Layer 1或Layer那樣提供共享的安全性，那麼這種"基礎設施"的定位就值得商榷。真正的基礎設施之所以"基礎"，是因爲它能爲整個生態提供一致的安全保障。因此，某些跨鏈協議更準確的定位可能是中間件（Middleware），而不是基礎設施。

一些安全團隊曾指出某些跨鏈協議存在潛在漏洞。例如，如果惡意行爲者獲得了協議配置的訪問權限，他們可能會將預言機和中繼器更改爲自己控制的組件，從而欺騙智能合約，導致用戶資產被盜。還有研究發現某些協議的中繼器存在關鍵漏洞，雖然目前由多重籤名保護，但仍可能被內部人員或已知身分的團隊成員利用。

在評估跨鏈協議時，我們應該回歸本源，參考比特幣白皮書中提出的核心理念。中本聰共識的核心特點是杜絕可信第三方，實現去信任化（Trustless）和去中心化（Decentralized）。跨鏈通信協議本質上應該像比特幣一樣，是一個點對點的系統，允許一方從Chain A直接發送到Chain B的另一方，而不需要通過任何可信中介。

具備去中心化和去信任特性的"中本聰共識"已成爲後來所有基礎設施開發者共同追求的目標。不滿足這一共識的跨鏈協議，很難稱得上是真正的去中心化跨鏈協議，也不應該輕易使用"去中心化"、"去信任"這樣的高級術語來描述自己的產品特性。

真正的去中心化跨鏈協議應該能在整個跨鏈過程中生成欺詐證明或有效性證明，並將這些證明上鏈進行驗證。只有這樣，才能真正實現去中心化和去信任。

對於那些聲稱使用創新技術（如零知識證明）來升級跨鏈協議的項目，關鍵在於他們是否真正認識到自身存在的問題。只有正視問題，才能真正推動技術進步，構建更安全、更去中心化的跨鏈生態系統。