DeFi 危机四伏 无信任桥如何维护用户安全？

来历：CoinTelegraph

编译：Dali@Web3CN.Pro

跨链桥允许去中心化金融（DeFi）用户在多个区块链上运用相同的代币。尽管这些协议对DeFi用户来说或许很便当，但它们存在安全危险。

举个例子，去年二月，跨链桥Wormhole——Solana、Ethereum、Avalanche等生态系统之间的跨链加密桥——遭受黑客进犯，丢失近3亿美元。

只是一个多月后，2022年3月23日，知名区块链游戏Axie Infinity的以太坊侧链Ronin Network遭受黑客进犯，进犯者运用被黑的私钥来伪造假提款，造成了约6.25亿美元的丢失。

8月2日，Nomad代币桥遭受缝隙进犯，黑客卷走超过1.9亿美元的财物。在2020年至2022年期间，跨链桥生态因黑客进犯遭受的丢失超过了25亿美元。

无信赖桥，又被称为非保管性桥或去中心化桥，能够进步用户跨链搬运的安全性。

什么是跨链桥?

跨链桥是一种技能，使得用户能够将数字财物或数据从一个区块链移植到另一个区块链。这些区块链桥允许两个或多个独立的区块链网络交互并共享信息。跨链桥所供给的互操作性使在区块链之间搬运财物成为或许。

大多数桥接技能都是经过在两个区块链上布置智能合约来完成跨链买卖。

（跨链依照同质化与否可分为异构跨链和同构跨链，依照跨链传输的内容类型可分为音讯跨链和财物跨链；依照信赖程度可分为中心化，多中心，去中心化）

跨链桥能够搬运包含加密钱银、数字代币在内的许多财物。有了这些跨链桥，不同区块链能够更有效地协同工作，而用户也能更好地利用每个区块链网络的共同功能及优势。

可信赖桥VS无信赖桥

跨链桥主要有两种类型，中心化桥（可信桥）和去中心化桥（无信赖桥）。可信桥由中心化实体办理，在桥接过程中保管用户的代币。正因为会集办理，可信桥更简单成为黑客进犯的对象。

而无信赖桥则不同，它运用智能合约来进行跨链搬运。

智能合约是一种旨在以信息化方式传达、验证或执行合同的计算机主动程序。因而，业内以为无信赖桥比可信赖桥更安全，因为在传输数据和搬运财物过程中，每个用户都保管着自己的代币而不是将代币保管给别人。

不过，如果智能合约代码存在开发团队未识别和修正的缝隙，那么无信赖桥依然或许被损坏。

区块链研究员兼Nimiq的中心开发人员Pascal Berrang告知Cointelegraph，“一般来说，比起运用单个区块链，运用跨链桥会有更多的危险。”（Nimiq是根据区块链的支付协议）

“跨链桥触及的两个或多个区块链，一般运用不同的安全机制。因而，桥接财物的安全性由桥接中最弱的区块链决定。如果其中一个区块链遭到进犯，那么跨链买卖或许只能在另一个链上进行，然后导致财物不平衡。”

此外，Berrang还强调了与被锁定在桥中的桥接财物相关的缝隙。“资金一般被存储或锁定在一个中心位置，然后构成一个单一毛病点。根跨链桥类型不同，上面的资金所面对的危险也不同：在根据智能合约的跨链桥中，合约中的缝隙或许会使桥接财物变得一文不值。”

主动做市商Balancer的增长主管Jeremy Musighi以为，额定的危险源于区块链桥接的复杂性，他告知Cointelegraph：“因为实施的复杂性和难度，跨链桥很简单出现错误和缝隙，而歹意行为者能够利用这些错误和缝隙来窃取财物或执行其他歹意操作。”

Musighi还指出，可扩展性问题使危险进一步添加。因为跨链桥或许无法处理大量流量，这会导致延迟和用户本钱添加。

进步跨链桥安全性的办法

开发人员能够经过实施多种安全措施来防止跨链桥遭受黑客进犯，这些措施有助于保证搬运财物的保密性、完整性和真实性。

首先是保证构成跨链桥中心的智能合约代码是安全且没有缝隙的。这能够经过定时的安全审计、代码检查以及推出缝隙奖励方案来完成，以上措施有助于识别和修正潜在的安全问题。

其次，开发人员能够运用如数字签名和哈希函数等加密算法来保证不同区块链网络之间的财物和信息传输的安全性。这些加密算法能够协助维护搬运的财物，并扫除搬运过程中歹意行为者的干扰。

此外，定时的网络监控对于检测可疑活动和防备黑客进犯至关重要。经过网络监控，开发人员能够及时发现安全问题，并在它们造成实际丢失之前加以解决。

最后，开发和布置安全的跨链桥需求遵从最佳实践，例如安全编码实践、测试和调试、以及安全布置办法。这样一来，开发人员能够协助保证跨链桥的安全性和稳定性。（“最佳实践”：best practice ，一般指的是在一种情况下产生了显著成果的一个流程或技能）

维护跨链桥，安全代码、加密算法、强大的一致机制、网络监控和遵从最佳实践缺一不可。

无信赖桥是更好的解决方案吗？

只有在智能合约代码经过全面审计且不存在缝隙的情况下，无信赖桥才能为跨链桥接财物供给更安全的解决方案。

关于安全问题，无信赖桥的主要优点是运用户拥有代币的控制权。用户在整个过程中都是自行保管代币，智能合约则担任搬运过程。因为不是中心化实体担任会集办理，跨链桥不易遭到进犯，因为财物和数据分散了。

Musighi告知CoinTelegram：

“我以为无信赖桥比可信桥更安全，因为它们运行通明，并依赖于去中心化的网络来验证和完成链与链之间的财物搬运。但可信桥依赖于中心化的第三方，财物和数据过于会集简单导致缝隙，而且这意味着黑客只要会集火力进犯一个点就能够了。无信赖桥更简单审计，并具有信赖最小化的突出优势。许多中心化桥也运用智能合约，但无信赖桥危险较低。”

因为加密用户对自主保管（self-custody）和去中心化越来越感兴趣，无信赖桥或许会越来越受欢迎。

此时快讯

【SushiSwap CEO：美国监管浪潮给加密货币行业带来巨大压力】金色财经报道，SushiSwap CEO Jared Gray在公开会议上表示，美国近期一系列对加密货币交易所（包括去中心化交易所DEX）的监管打击浪潮加密货币行业带来巨大压力。在谈及收到美SEC传票时，Jared Gray表示正在与之合作并拒绝透露任何进一步的细节，此外，他还表示将努力解决SushiSwap的财务问题。（Coindesk）