桥上Horatio :万字长句最全综述区块链桥宁静假设

文/Maven11 Reseaarch； /金色财经xiaozou Maxwell

早期罗马的著名传说代表着Horatius Cocles为了抵抗伊特鲁里亚的侵略者而单枪匹马地保护桥梁。

几个月前，我看到令牌桥成为黑客攻击的目的，但黑客攻击的目的越来越复杂。 一些人结束了讨论，桥牌到底有多安全。 因此，我想周全地总结块链桥的安全和信任假设，包括大普遍的动态传输协议、网桥和互操作性项目。 剩下的，我们还将浅析跨链动态传输协会嫩和桥经济学。 因为假设协议令牌可以让你掌握它，所以这方面也是极端主要的。

首先，让我们弄清楚用下桥相关协议上的马脚打击课题有多重要。

您可能已经知道，随着现有链条数量的普及，桥牌马脚打击已经成为一个广阔的课题。 除非我们优先考虑安全课题，否则这将会特别因为系统化的告状而繁荣。 作为用户我们必须在协议承担站的第一线——毕竟那是我们的资金。 这也是我们撰写本文的初志——家族互操作性范畴中的信任假设和安全性课题。

同样，由于行业越来越注重多链、链条利用、模块化，我们也见证了大规模新兴区区块链和人群的涌入。 为了满足用户和振动性的需求，互操作性是必须的。 所以随着越来越多的区块链结束自己的生态建设，网桥越来越主要，越来越被人们接受，尤其是令牌桥。 我们需要把振动性从一条链转换成另一条链。 所以，令牌桥很受欢迎。 即使这是唯一不是桥接器的用例。 在这里，必须罕见地提到IBC等一般的动态传输协议经过独特的动态传输系统和规范支撑着大的用例。

上面，你可能很好地概述了一些房地产被桥接在各个链条上：

这爽朗地再现了桥接的必要性，为什么要接触链间动态传输协媾和桥接，很出色。 我们为了确保安全性而建设的，就是这样相当主要的——，它们处置了很多价值，传输量很大，在很多情况下被很多智能合同托管。

目前广泛流行的桥接政策应用了法式和链式之间的动态传输协议，一系列操作有助于进步的效力。 你看不起人文。 但是，它取决于网桥/动态传输协议。

欺骗/监视：状态监视器，如灯光客户端、验证器和预言机。

转发器(Relayer )，负责动态发起/中继)往往只发布动态信使，将信息从源链发布到在链下操作的目的链，而不是与观众产生共鸣。

共鸣(Consensus ) )监控链主体之间完成的协议，从大局上来说，可能是在Axelar和共鸣节点的链下收集，达到多个签名等，可以委托的第三方的valset。

开头(Signature ) :桥接器主体对消息进行加密开头是由验证者向引入IBC等加密开头进行开头，或者Polymer利用ZKP (例如Plonky2)向来自源链的验证者进行验证

(网桥主体和通用体系结构)

这些协议主要可以分为以下四类。

通过托管(通过第三方)或非托管(通过智能合约)供应包装物业(虽然通常是固定物业的桥接器，但也可以将交易所称为托管桥接器)。 wBTC就是此类协议的一个示例。 wBTC拥有核心企业BitGo、BitGo铸造等效的ERC-20令牌，即以太体上的wBTC。 稍后将讨论这种束缚计划的信任假设和紧急课题，只有经过这里的注释才能明确。

多符号链：这些往往是两条链之间的双向桥，如Harmony Bridge、Avalanche Bridge、Rainbow Bridge等，所有链都是以太体上的智能中继。 用户经常把房产寄给协议，那边的房产作为抵押品。 然后在目的链上发行桥接包装令牌，在来源链上锁定合同中的抵押品支柱。 它们往往被一组验证器破坏，只被一个多信号破坏。 我们知道这些束缚计划很容易告急——，包括Ronin Bridge和短期的Harmony Bridge桥牌打击。

明天下午一定要利用法式：供应对于多链条的等待礼拜，但这个一定只是为了利用法式，比如说利用法式，它还利用零丁验证器集经营自己的链条。 这些信任往往假定验证器在今天一大早分散生存。 该验证器集掌握并处理每个链上一致收集的分支智能合约/地区的所有动态和买卖。

通用变速箱动力：变速箱动态传输协议。 禁止在带命令的链上建立的链上执行IBC等通用动态传输协议。 这些常常依赖于验证器。 在这里，信任两条链条相接的验证器很分散。 对于XCM来说，信任取决于中继链(Polkadot )。 你可能还会推广Polymer和LayerZero等动态传输协议。 那些都是众所周知的。

交叉链动态传输协议常常与振动层统一使用，往往只处理基于其示范的链间通信和规范。 Superform就是一个很好的例子，同时利用了LayerZero和Socket (算作振动层)。 你也可以把基于Cosmos的独立链看作IBC的振动焦点。

(上述桥接器类的简化操作体系结构)

以下实质介绍了交叉链合同的两个主要整体，即相关智能合约的紧急通报和应考虑的极度信任假设。

智能合约开始紧急离开家人的最明确的安全告知函之一是智能合约变得紧急。 安全性非常重要，因为智能合约用于没有本机常见动态传输协议的链间网桥。 那么，我们来讨论一下我们必须夸张的几个告解吧。 避开这些告状是最好的

效的方式便是全面没有利用智能合约，而是依附相干链的安全性。

（1）挪用合约的正确语句

a. 哪些函数大概正在施行前依附预约义条件。

b. 断言条件以反省全数函数施行所需均为true的事项，比如桥震动性合约余额。

c. 如怨恨足所需条件（如上述条件），则恢复可触发语句。

（2）正式验证以及矜重测试

a. 合约的正式验证对付确保所述智能合约正在一定条件下的正确性很是主要。也许运行吗？是否根据我要它按照的规格运行？

b. 测试合约的一切功能——每次更新或退换都要测试。

c. 测试随机性以确保假设违反安全属性，则函数为真。

d. 有各类各式的测试方式也许利用，如，单元测试、静态以及动静分解等等。假设你想琢磨下你能做甚么，也许磋商Runtime Verification这样的公司。

永久记得要审计你的合约，但也要领会，审计并没有保险没有会堕落，它仅仅另一种最小化信赖的办法。Bug惩罚也是种也许运用的好方法，有良多完结办法——例如Sherlock以及ImmuneFi。

（3）可进级 vs 弗成进级

a. 你的合约应该是弗成改动、弗成进级的吗？这昭彰确保了“好心主体”没有会引提问题。然而却升高了改革才略。咱们须要一个新的合约并向其迁徙，这样做须要经过咱们下面琢磨过的漫溢反省点。另一个课题是，假设合约生存今朝没法束缚的弊端，只有弊端还正在，就朝夕会被运用遭遇打击，怎样办？固然，弗成进级的优点正在于，其限制了合约稳重状况下的马脚运用，但假设正在没有采用妥善安全办法状况下对于可进级合约施行进级更新，则大概导致障碍——以前产生过此类障碍。

b. 然而，挑选可进级性正在大普遍状况下都是正确的，还有各类方式可确保你对于最小化信赖以及最大化安全的争持：

（i）为退步做好打算——假设产生马脚打击，须要施行哪些进级，是否也许拟定重要办法？

（ii）运用代办模式——正在分歧合约之间将状态（信息）以及逻辑（施行）相结合。这意味着你也许进级智能合约的逻辑，而没有损坏状态自己。

（4）急停

要有也许拜候急停功能的实体，该功能合拢了智能合约功能的可拜候性。该功能应该只正在及其主要的状况下利用，正在这种状况下，须要急停来制止马脚运用打击。然而，这样做确切是将权益置于小量人手中，但有时却也许帮忙正在合约遭遇打击的状况下损坏合约功能。这是一个很好的方式以及设法，也许与下一点并行完结。

（5）监控

努力监控智能合约的功能以及施行对付确保无效性以及正确跟踪是极端主要的。你还也许利用各类监控器械来猎取对于合约的无效性以及安全性相当主要的某些触发器或功能的警报。

还有一种方式是激发监控者（如Optimistic Rollups），让其有动机捕获哄骗震动并讲述。然而，这须要以一种真正无效的办法来实行，还有比监控更急迫的办事要做。

（6）处置

a. 假设你的智能合约的掌握权是分别的，散布于你协议的代币持有者，那么处置系统的安全则须要决定性。

b. 须要思虑的课题是，大型代币持有者恐怕进级合约并改革功能以相投其好处，这大概会导致好心运用，引发障碍形成资金亏空——这正在往日曾经经产生过。

（i）一个值得思虑的好方式是Optimistic Approval，这是一种推广时光锁（timelocks）以及阻遏历程（veto process）的方式，禁止保养激发办法，限制某些到场者的权益，并有助于避免好心提案。

（ii）这也与时光锁利用相干联，以避让智能合约施行系统弗成或缺的功能，直到特定时光当时，这将禁止重要功能正在须要时介入。

（iii）TWAP投票也也许用来削减加紧处置投票收买。

c. 去焦点化的处置系统很是实用，也许让社区成员正在协议的他日事项中有讲话权。然而，它也确切推广了告急以及信赖假定。

（7）拜候掌握

a. 合约的全部功能须要束缚挪用主体课题。是否禁止一切EoA挪用功能？功能应该是众人的依然公有的？一些功能应该只被有限主体拜候，例如可进级性，或铸造代币。

b. 谁是一切者，他们恐怕施行哪些功能——一切者仅是一个个别依然个多签？常常，零丁的个别也许拜候全体功能，以限制焦点化。不管若何，你应该埋头于清除单点障碍以及最小化信赖——埋头于最小化，由于你永久弗成能清除信赖。

（8）重入打击（Reentry）

利用序列号、时光戳或明码证实来确保无效判别公约挪用，以避免双重收费。

（9）预言机安排（合并预言机）

对付依附于代价反应或来自预言机的一致信息的智能合约来讲，另一个中心考量便是要有安全的方式来判别安排动作，并限制从外部角度来看大概产生的课题。

有一篇很没有错的争论文章值得一读，那便是“Consolidated Price Feeds”，该文枚举了正在利用预言机时确保安全性以及最小化信赖的方式。

从下面也许领会地看出，当触及到智能合约告急时，会触及到良多利弊衡量。咱们指望下面提到的大全体告急都恐怕显露进去，让用户以及开垦人员也许开放告急评估。

还应该留神的是，即使一些跨链动态传输协议没有依附于“智能合约”，它们仍然依附于须要精深审计并测试的代码以及协议妄图。这是没有言而喻的，但仍没有能失落以轻心。它们也应该根据所琢磨的一些不异的设法施行更新。迩来导致马脚运用打击的一个非智能合约bug的例子是BNB马脚，这是旧的IBC榜样中没有适时更新的过时期码引发的前因。

信赖假定

另一个要琢磨的主要实质是所利用的一定协议内的信赖假定。这对付像wBTC这样由焦点化托管人托管的项目来讲利害常主要的。即使是对于roll-up合约来讲，也是相干的，这些合约是其一定第2层的桥接智能合约。它们常常由一个多签或一致系统掌握，正在良多状况下以至是可进级的。正在某些状况下，信赖假定很小，正在其它一些状况下，信赖假定则异常大。然而，须要留神的是，正在一切桥接/动态传输协议中，某种水准上都生存信赖假定，而且总会生存。即使是正在像IBC这样的无智能合约动态传输协议状况下也是如许。正在这些状况下，你信赖相接链的验证器集。正在其他状况下，有一个可托任的第三方操作桥接协议，你主要信赖该验证器集，如Axelar及Polkadot。正在这些状况下，你也时常依附于智能合约，至多对于Axelar来讲如许，智能合约充任了与Axelar桥接的资金托管人。

信赖假定将永久生存

有一些方式也许束缚一些信赖假定课题，比如依附ZKP来验证链上区块头的正确性。然而，仍然生存一个信赖假定，即区块头从源链（及其valset）来看是正确的，所以，要说没有触及信赖假定是全面正确的。你还要依附于链上的验证合约是正确的，因而开源合约应始终算作首选，并采用测试以及正式验证。这确切避让了对于外部信赖假定的依附，触及的外部信赖假定总是越少越好。虽然咱们永久没有会到达无需信赖的状态，但咱们也许相对于凑近这个目的，并到达理论的无需信赖状态，即信赖全面生存于一个拥有布满加密经济统一性的去焦点化收集中。这意味着黑客打击的价值将远远逾越收益。这边，异样主要的是要思虑到，为了其自身好处，确保收集的永恒强健契合大普遍收集到场者的好处。这让咱们想到了不停说起的-EV以及+EV，和Moloch的角色，和咱们算作一个社区正在链上链下合资对立非理性动作者的才略。

（正在智能合约告急以及信赖假定告急维度下的上述桥接类别）

信赖分裂

有件事是很主要的，那便是信赖是有分裂的。每个区块链的信赖系统都没有一律。将数据从一个区块链传输到另一个更高或更低加密经济安全性的区块链大概会导致好心操作。

多签钱包须要来自分歧方的多个出面才华授权买卖，这使得单个实体更难危及系统的安全性。另一方面，去焦点化处置支柱用户社区的团体决议，使得单个实体更难取得对于系统的掌握。不过，每个多签树立都分歧于另一个，供给分歧数目的安全以及信赖假定。去焦点化处置也是如许。代币持有者是否渊博的去焦点化，他们是否实行了利于安全性的处置——比如，Optimistic Approval？有多少主要因素须要思虑，这些因素常常因协议而异。

重入打击（Reentrance）以及震动性

咱们以前提到的另一个枢纽实质是“重放/重入打击”。正在重放打击中，打击者将先前正在一个区块链上纪录的买卖广播给另一个区块链，大概会禁止它们屡次利用不异的资金或物业。避免产生这种状况的最分明的方式昭彰是利用轻客户端以加密办法证实所述买卖一经正在各链上告竣。然而，这并非正在一切链上均可行。迩来产生的这类打击最分明的一个例子是Nomad。另一个挑选是利用序列号或时光戳，以确保每个买卖都有一个没有能重用的仅有标识符——随机性正在这边也很主要。

还须要思虑的一件事是一定物业的震动性正在何处。比如，它是否存于源链震动性合约中？它是否像某些USD牢靠币一律，震动性理论上正在链下？有良多信赖假定须要思虑。咱们的目的应该是将信赖假定最小化，但咱们永久没法全面清除信赖假定。

而今，咱们一经清爽了当你桥接你所爱戴的物业、只想盘诘数据或共享状态时须要留神的主要事项——让咱们来领会为甚么桥接物业以及状态是相当主要的。

数据迁徙以及状态共享是完结真正的跨链可配合性的下一步。它禁止利用法式以链弗成知的办法扩充越过链的界限并构建协议。这样一来，链A上的模块、账户或智能合约就也许挪用或读取链B上的智能合约、账户或模块的状态。一个很好的相干例证便是IBC中的ICQ模块。相映地，确保连贯到各类链上的物业安全也相当主要，由于咱们以及良多人都猜测到了一个多链共存的他日，指望如许。

跨链动态传播协议的普通分解

本节根底上也许算作每一个现有的跨链桥以及动态传播协议的指南。它将涵盖这些桥的各类安全办法和他们的信赖假定。假设错过了某个协议，那么咱们深表歉意。不过，本节仍应涵盖现有的绝大普遍协议，以至还会触及一定的桥合约，比如L2桥合约。

咱们一经正在以前的文章中深切琢磨了IBC的处事原理。没有过须要夸大的是，它们的主要信赖假定正在于已翻开通道的链的验证者集。它们没有智能合约告急，而是对于验证者集（valset）及其状态的信赖。

正如咱们正在Polymer文章中所述，IBC有多种衍生物。咱们的道理是指以某种办法运用IBC跨链动态传播协议。第一全体将先容此类协议。即Polymer以及Composable，咱们一经对于Polymer施行了周全深切的争论，所以这全体将比较简略，由于你应该一经很是纯熟了。异样主要的是要留神，咱们是Polymer以及Composable的投资者。

Polymer

IBC路由协议，比桥更像是一种通用的跨链动态传播协议

轻客户端或智能合约算作轻客户端验证区块块头（来自验证者的出面）

经过来自验证者集的验证者出面的加密证实——非Cosmos链上的ZKP，经过递归（plonky2）以及链上验证——它们的zkIBC完结。

智能合约中的IBC逻辑

也许供给依附于连贯链的valsets 的异步桥。

完结数据共享以及盘诘。没有仅仅是物业桥。

正在源链上同步提交（验证者出面），一旦正在目的链上反省了区块头，便拥有最终决定性。

加密经济安尽是连贯链valsets与IBC的好坏联系，对付非基于IBC的链，信赖假定取决于摆设的智能合约。

Composable

XCVM的运行办法与Polymer的运行办法一致。拥有摆设原生跨链协议的才略。因而具备状态共享，盘诘才略等等。

Centauri是他们的传输层，它匆匆进了理论的通信。这是基于IBC的，也禁止状态共享。它根底上禁止经过连贯到其各自中继链的平行链从IBC链桥接。

与IBC以及 IBC 的 rust 完结一律与轻客户端一统运行以支柱Polkadot生态系统 (Substrate)。轻客户端或智能合约/Pallets充任轻客户端验证区块头（来自验证者的出面）

正在这种状况下，信赖假定从两个简单的valset转化到相干中继链（Polkadot 或 Kusama）的valset，该中继链运行桥接的平行链的状态。这是经过IBC pallet（一致于以太坊上Solidity中的Polymer IBC合约）来完结其平行链上所需的IBC框架。

查看者节点正在链受到打击时验证区块的无效性。

对付拥有原生轻客户端支柱的链，该历程与IBC的原生处事办法很是如同。

下一节将注释XCMP的处事原理，它是Polkadot生态系统的原生跨链动态传播协议。这是Composable的当然后续，由于它们确切本原于该生态系统。

XCMP

平行链依附简单信赖假定，由于它们都依附于Polkadot的共鸣，所以它们信赖主中继链。Kusama及其平行链不异。

所以XCMP依赖中继链悠闲行链验证者来验证从平行链发送的动态，该历程由中继链上的一个区块确认。

也许以及诸如IBC建立通道。然而，每次提交都须要投入中继链，所以须要监控中继链上的状态以确认动态已完毕共鸣。所以，平行链区块头投入中继链区块以确认动态传播。


正在这种状况下，中继链算作可托第三方 (TTP) 运行——所以它与中继链的valset 一律安全——这是信赖假定。

平行链经过共享安全性经过中继链 (Polkadot) 取得它们的安全性。

这意味着Polkadot收集的总质押是XCMP的信赖假定以及加密经济安全。

IBC

须要互相链上的轻客户端以加密办法验证两条链之间的共鸣状态

要求中继器正在两条链上的轻客户端之间中继信息。中继器须要活泼性——恐怕正在节点之间调换动态，节点乐成完毕共鸣的才略。

中继器没有会将动态中继到每个链上的轻客户端。相反，中继器提交给每个链的动态确实切领受者是该链上的 IBC模块。轻客户端是IBC模块的一个小亚组件。

IBC轻客户端仅正在初始化方法信赖一定区块头（建立客户端时的信赖根）。正在那一步中，客户端确切置信供给区块头的节点是狡猾的。正在那一步之后，他们没有再有基于一定齐全节点狡猾的信赖假定。

信赖假定位于连贯的区块链的两个验证者集内

加密经济安尽是相干链的总质押


为了连续Cosmos门路，让咱们来看看Gravity以及Axelar，它们都经过非CosmosSDK/Tendermint链上的智能合约运行自身的桥，并连贯到它们自身的链上，这些链充任受信赖的第三方以及共鸣收集。这些都是相对于简捷的束缚规划，但它们确切使Interchain生态系统恐怕连贯到更精深的区块链生态系统。所以，让咱们也看看它们。

Gravity

运行Cosmos链算作共鸣收集，损坏以及铸造可正在Cosmos生态系统中利用的ICS物业。

验证者须要运行一个齐全的ETH节点

由中继收集连贯（正在这种状况下，它没有像IBC那样是无需信赖的），这推广了信赖假定，由于他们掌握着他们的Cosmos SDK区域，所以运行他们自身的ETH节点，如前所述。

连贯到Gravity的震动性生存于以太坊的智能合约中。

弗成进级的合约，只可施行细微的逻辑进级。

信赖假定取决于Gravity bridge valset、智能合约安全告急以及拥有好处辩论的中继收集。




Axelar

与Gravity一致，它依附于Axelar链的验证者来运行接入Axelar的链上的节点/轻客户端。

还一致于Gravity一律对于买卖施行批处置

还依附于须要移植到新参加链的目的语言的智能合约。Axelar今朝支柱的链比仅办事于以太坊的Gravity 多。这些智能合约自己并没有是震动性的智能合约，而是也许挪用其他合约的智能合约。这意味着它们无理论上像网关或轻节点一律运行，正在个中传播契合Axelar供给的逻辑的动态。然后，像Satellite这样的桥也许利用根底办法来建立理论的震动性桥和桥物业。

禁止跨链传播普通动态，目的利用法式将Axelar算作动态传播协议来完结，这与IBC和Polymer以及 Composable的目的不异。

禁止利用法式利用其根底架构。一致于LayerZero没有是桥，但Stargate是。这是一个切实的较为，不过请记着，Axelar经营着自身的共鸣收集，是它的Cosmos SDK链，它的验证者也正在个中运行连贯系统的节点。

受信赖的valset今朝有60个验证者（即使并非一切验证者都正在连贯的链上运行节点，仅仅个中的一个子集或有时是全数）。昭彰还须要思虑智能合约告急，而且假设你利用的是经过其根底办法连贯的桥，它们也是智能合约。



接下来我以为咱们须要看看LayerZero，它确切囊括了通用的跨链动态传播协议天下，并且一经看到了辽阔的排斥力。再次须要留神的是，L0 没有是桥，而是一种动态传播协议，你也许利用它来构建桥或挪用跨链智能合约。

LayerZero

两个实体——预言机以及中继器。

预言机将区块头转发到目的链，而中继器根据来自预言机的中继信息转发来自源链的买卖证实，证实买卖/动态是无效的

利用法式也许精巧地利用LayerZero的默认预言机以及中继器，大概建立以及运行自身的预言机以及中继器。它们被用作跨链动态传播协议，而没有是理论的代币桥。不过你也许用它建立桥，例如Stargate以及其他，它们利用LayerZero来施行动态传播。

Endpoint，这是LayerZero的Axelar网关版本，或Polymer的IBC逻辑智能合约。他们根底上像IBC中的轻客户端一律处置验证。

这确切意味着以及Axelar一律，你将依附LayerZero根底办法，然后是连贯到Laye币安官网入口rZero的智能合约。

假设两个到场者之一没有狡猾，买卖将退步。不过，假设二者都是没有狡猾的（假设你依附焦点化束缚规划或利用法式自身的束缚规划大概会成为课题），则大概会被运用。因为这边利用的这种去焦点化的预言机收集是必弗成少的，它也有多种挑选，并且大概利用一致的预言机——假设须要，请进一步参照预言机全体。

没有依附于可托的第三方链，而是依附于也许拥有分歧水准的安全性以及信赖度的模块化架构。


安全性与所利用的oracle/relayer束缚规划和智能合约告急一律。

没有供给或依附一切加密经济安全性。不过，它确切依附于所用收集的加密经济安全性，和利用的预言机的经济安全性。中继器的安全性是多重出面等。它正在所利用的智能合约中也有信赖假定。

接下来让咱们看看“Optimistic桥”，我正在这边稀奇指的是Nomad以及他们的一些单干火伴。这昭彰有一些所指，但请记着，Nomad被打击运用的没有是桥接体制，而是智能合约。收集安全性未能涵盖智能合约这一点。

Optimistic Bridges

买卖/数据揭晓到前方提到的Endpoint/网关的合约。

桥代办订立数据的Merkle根是正确的并揭晓它。然后一切中继者均可以将其揭晓到想要的目的链。假设产生哄骗，该代办绑定的代币会被处理。

揭晓数据后，将煽动一个防哄骗窗口，正在该窗口中，链的一切查看者（由于他们取得了代办人的保险金而受到激发）均可以证实源链上生存哄骗动作，所以保险金会被奖励。然而，今朝，链上奖励自己是弗成能的，因而它必需正在链下收集中产生，常常是半手动的。

假设正在时光范围内没有发送防哄骗数据，则数据正在目的链上被以为最终决定了，并且也许挪用目的链上的合约。

这种本领拥有较低的信赖假定，不过，它正在很大水准上依附于智能合约以及查看者的处事。假设生存一切智能合约马脚，查看者将无能为力。

他们只须要一个狡猾的查看者，由于只需一集体就能正确验证更新。

这确切意味着绑定的可罚没质押没有须要很是高，由于你依附的是只要一方是狡猾的这一真相。

须要去焦点化的代办，不然，一集体就也许休止系统。

须要对于查看者征税以避让DoS，然而，这意味着假设向来没有一切哄骗，你也没有会取得一切货色——须要分歧的激发讨论，除非你仅仅依赖桥的到场者来运行它们，但这会导致焦点化，由于查看者/到场者以及协议将运行全部。

加密经济安全取决于所利用的一定收集。它大概是查看者或代办人的加密经济安全，他们拥有被禁止到场的绑定代币等。如前所述，有多种方式也许限制他们的作用范围。


Optimistic Bridges的架构



接下来让咱们先容多方算计 (MPC) 桥，个中一些还依附于它们自身的可托第三方外部验证共鸣收集，就像一个区块链。此类束缚规划的两个示例是Qredo以及Chainflip。Synapse的无引导（leaderless）MPC valset 的处事办法也有些一致。

拥有外部验证者的多方算计 (MPC)

MPC是一种门限出面规划，禁止多个节点正在单个密钥下建立出面，这使得串同以及接纳帐户变得尤其容易。

外部验证者是指协议在运行拥有验证者节点的收集或链，验证者节点验证出面以及挪用并掌握MPC钱包想要桥接的链上的网关智能合约功能。这也也许称为中间链方式。

许多MPC束缚规划还运行各类安全性硬件。

假设未经授权实验拜候帐户，则保存正在该节点中的密钥将被损坏，外交工程是仅有的拜候办法（咱们以前一经看到乐成）

这也意味着这些桥常常仅限于小量人利用，没法精深利用。常常着重于机构利用。

桥的网关合约的信赖假定是根据在利用的协议的正确树立。各类智能合约中的安全告急。社会工程学正在这边也是一个无效的存眷点。

中间链常用于为用户纪录物业的归属。

网关应由去焦点化的多重出面/节点收集掌握，以完结最好安全假定。

正在这些状况下，中间链常常是系统的加密经济安全性，由于它禁止纪录以及退换谁拥有物业，所以它是受信赖的第三方。

请记着，随着利用的出面者数目的推广，系统的迟延大概会推广，以下所示：


各类束缚规划最终看起来有点像这样：


前两个束缚规划正在某种水准上也也许看作是一定于利用法式的桥，这也是咱们以前提到的一种链。另一个属于这一类的链，便是人们常常想到的链是Rune，也被称为THORChain。

Rune（THORChain）

THORChain本体上充任外部验证者，理论上正在连贯的链上操作无引导的金库。这也意味着它是整体收集的加密经济安全性，由于它充任桥接链之间的中间人。这也是须要做出的信赖假定之一。

状态链正在依赖买卖输出的同时和好物业以及调换逻辑

这与连贯的每个链上的“Endpoint”一统处事以处置一定买卖

每个出面者都须要正在连贯的链上运行一个齐全的节点

每个链的客户端都是相对于轻量级的，只蕴含挪用一定链上的合约所需的逻辑。主要逻辑正在运行THORChain 自己的查看者客户端中。让咱们把它画进去，这样你就也许失去一个更好领会：


为结束束咱们的分解，让咱们看一下常常没有称为桥的一种桥，它是一种L2 rollup合约。这些是L2与之通信的以太坊合约，物业被锁定，然后正在所述rollup上“铸造”物业。今朝，这些合约持珍稀十亿物业。所以，它们的无效性很是主要。让咱们来看看它们是若何处事的，和它们供给的安全类别。

Rollup桥合约

从物业锁定正在L1智能合约中然后正在L2 上可用的意思上来讲，其功能一致于桥

Rollup状态以及证实正在L2合约上失去验证，供给加密安全性，这种安全性正在某种水准上源自下层链。假设须要无效性证实，它会正在L1上的验证者合约中发送以及验证。

大普遍Rollup正在其智能合约中都拥有可进级性，这昭彰是一个须要思虑的告急。

大普遍Rollup禁止经过L1施行买卖，大概假设排序器退步则逼迫加入。

本体上是一个信赖最小化的桥。然而，生存远大的智能合约告急，和缭绕谁掌握这些合约的信赖假定。

Arbitrum以及Optimism的“桥”像上面这样处事的。

而今咱们一经涵盖了今朝用于跨链动态传播协媾和桥的绝大普遍类别的束缚规划，让咱们来看看所议论的协议安全性的另一个很是主要的全体。这边指的是协议经济学。这边稀奇令人感趣味的是协议的加密经济安全性，假设它拥有给予处置权益或禁止你接纳协议自己的主要全体的代币。

桥经济学

让咱们从一个假定结束——有一个带有处置代币的桥协议，禁止投票进级协议或禁止掌握协议当中功能。而今，假设锁定正在协议中的总价值远远逾越经过提案所需的物业，那么打击协议就有分明的价值。这个简捷的假定便是为甚么桥经济学以及处置功能对于桥极端主要。如前所述，正在处置方面减缓这种状况的一种方式是利用一种轻微更轻微的处置准则，称为Optimistic Approval。

加密经济学安全性是区块链桥以及跨链动态传播协议的一个主要方面，须要留心妄图以及实行的激发以及制约系统来确保系统的安全性以及齐全性。这便是为甚么没有依附受信赖的第三方加密经济学安全性的系统能处事最佳的缘由。正在依附桥的加密经济学安全性来损坏各类链上物业的系统中，昭彰没有如依附链自己的加密经济学安全性安全。

然而，今朝，大普遍桥以及跨链动态传播协议都依附于受信赖的第三方的经济性。昭彰，正在valset很是安全的状况下，这大概利害常巴望的，但正在其他状况下也大概会坚毅。还有其他体制的利用可用于损坏收集，比如可验证迟延函数，可验证迟延函数也许为依附此类到场者的收集中的预言机推广随机性。

其他须要思虑的经济方面是时常利用加密经济学价值的收集，比如多重出面、valsets、mpc以至门限。这些常常依附于狡猾普遍假定，这意味着打击这些桥的老本是损坏/掌握51%收集的老本。

可托第三方

正在区块链桥中利用可托第三方既有优点也出缺点。一方面，这些第三方供给了一其中心以及可托的和好点，也许更轻便地办理以及损坏分歧收集之间的物业以及数据传输。这正在分歧收集拥有分歧安全以及共鸣模子的状况下，大概须要极度级其余监视以及掌握的状况下，稀奇实用。

另一方面，利用可托第三方会正在系统中引入潜伏的障碍点。假设第三方受到吓唬，大概会导致物业或数据丢掉。其余，可托第三方中焦点化的权益大概会损坏系统自己的去焦点化以及无需信赖性。

限额利用（Rate Limiting）

另一个与经济相干并且也许帮忙限制打击毁伤的方面是对于桥限额利用。限额利用概念的道理是限制每小时也许桥接的美元总价值，以就可以实行重要束缚规划以救命桥的另外全体。

昭彰，这会导致用户感受方面的课题，稀奇是对付很是盛行的桥或大型桥，同时昭彰会推广一些安全性。比如，你也许将也许桥接的总金额限制为每小时1000万美元。绝大普遍用户/散户没有会留神到，并且它将运用马脚大概形成的毁伤限制正在一个更小的数目。这昭彰正在往昔的打击中很是实用。

限额利用应该限额几许，是否有一些奇异的数字？没有特定，这取决于所选择的桥接办法，还取决于桥接的链。比如，正在Arbitrum<>ETH桥上，因为其受接待水准，被桥接金额须要大一些。不过，对付一定于玩耍的利用法式链或rollup，玩玩耍没有须要大度价值，更承诺确保用户资金的安全。正在这种状况下，限额利用将很成心义。

负面作用是显而易见的——限制以及破除大玩家。不过，安全性是否比这些更主要？

一种束缚规划大概是实行“桥车道高速马路”。分歧的束缚规划以及人员利用分歧的桥。一个分明的误差是这会带来震动性以及买卖量的分别。对付一定于玩耍的rollup，限额利用正在较低的金额是成心义的，正在那边没有须要大度金额，并且你指望正在一切状况下都确保用户资金的安全。

其他一些要记着的办事是：

1. DoS打击，所以须要对于大容量支拨可不雅的用度。

2. 你指望针对于增添施行优化，但这会轻微妨碍增添。

正如本文通篇所阐明的那样，不断正在衡量选择。因而正在限额利用方面也是如许。然而，这是一个咱们指望看到更多测验的范畴。正在大普遍状况下，没有清爽的最好规划，但总的来讲，正在这个范畴实验新的以及斗胆的办事是值得做的。没有一切最终妄图是巴望的，但安全以及保险应该是一切协议最体贴的课题。你也许说限额利用禁止咱们为小量人埋葬用户感受并为大普遍人供给安全性。

互操作性以及可配合性

互操作性常常用于注释利用法式以及链之间物业的无缝转化，而可配合性用于形容这些一定利用法式之间共享根底架构的设法，比如以起码的处事量将利用法式摆设正在多个链上。这是本文形容的跨链动态传播协议在告竣的处事。

只要当链以及利用法式之间的买卖老本较低时，可配合性才真正可延续，不然，它会落空可配合性给予的主要价值。可配合性为最终用户带来更多挑选，并恐怕跨各类生态系统以及利用法式无缝施行操作，同时清除先前的闭塞，比如重新结束构建生态系统。

当利用法式恐怕与其他利用法式（比如主动震动性头寸、假贷等）交互时，它们就变得可配合。