根據區塊鏈安全公司 CipherTrace 2021 年 7 月釋出的加密貨幣犯罪報告顯示,2020 年,DeFi 協議遭到攻擊涉及金額約 1.29 億美元;2021 年前 7 個月,DeFi 協議遭到攻擊涉及金額便上升至 3.61 億美元。隨後的 8 月,在 34 分鐘裡,駭客又成功從跨鏈協議 Poly Network 盜走價值 6.1 億美元的加密資產。
這是 DeFi 歷史上涉案金額最大的一筆盜竊案,雖然事後駭客歸還了大部分資產,但是 DeFi 是否安全以及程式碼即法律的現實性變得更像是薛定諤問題。只有遭到攻擊、資產被盜,才能判斷協議不安全。DeFi 協議中,跨鏈協議又屬於重災區。公開資料顯示,近兩個月,DeFi 領域發生了 19 起安全事故,跨鏈協議佔 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等協議。
選擇使用哪一個跨鏈橋和判斷跨鏈橋的安全性成為了 DeFi 使用者的下一個難題。
跨鏈協議的不可能三角
區塊鏈的不可能三角已經是老生常談的話題了。在區塊鏈系統中,無法同時達到高擴充套件性、去中心化和安全性三者。對於公鏈而言,擴充套件性的重要程度或許排在首位。正如以太坊創始人 Vitalik 所表示的,擴充套件性也許是排在第一位的問題,擴充套件性問題已經成為很多系統的墳墓。但是,對於 DeFi 協議,尤其是具有大量沉澱資金的跨鏈應用而言,安全性或許才是最值得重視的。
作為 DeFi 中重要的一環,跨鏈應用應該更加註重安全,在去中心化和高擴充套件性上進行一定的妥協。就如因穩定幣兌換自動自動做市專案 StableMagnet Finance(SMAG)跑路而選擇報警的 L 所表示,目前去中心化世界的發展仍處於相當早期,有太多的課題有待探索完善,如果盲目推崇去中心化極端主義以及徹底的「程式碼即法律」,不會帶來真正的發展與未來。
Kava Swap 便是一個以安全為核心的跨鏈流動性中心。Kava Swap 是基於 Kava 公鏈搭建的 DeFi 基礎設施、跨鏈橋以及跨鏈自主 AMM 做市協議。
跨鏈橋由於流程複雜,涉及到眾多公鏈和多個合約之間的交付。因此容易在不同的地方出現漏洞。如 Poly Network 與跨鏈資產橋 ChainSwap 都是因為合約漏洞被攻擊。而多鏈路由 AnySwap 則是因為跨鏈私鑰管理問題遭受攻擊。
因為流程複雜,Kava Swap 在正式啟動前經歷了內部審計、外部審計以及公開測試。並且,根據公開披露的資訊,Kava Swap 將進行 4 次迭代以實現所有完整的功能。在第一個版本的 Kava Swap 中,將新增 BTC、BNB、KAVA 等較為主流的代幣池,並透過鏈上投票選擇新增新代幣;在第二個版本中,Kava Swap 將把功能打包至 Kava API 之中,方便使用者整合和交易;在第三個版本中,幣安智慧鏈(BSC)與以太坊之間的智慧流動性橋將啟動;在第四個版本,智慧自主交易功能和額外的生態跨鏈橋也將啟動。
在資金的安全上,Kava Swap 透過使用傳統交易平臺「冷錢包」與「熱錢包」相互配合的方式進行。「冷錢包」用於存放大額資產,「熱錢包」用於短期小額資產的流轉。截止發稿,Kava 與 Binance 鏈安全跨鏈超過 15 億美元資產。同時,社羣發起了 Kava 61 號提案,一旦獲得透過,將提供價值 10 萬美元 SWP 用於獎勵交易大賽使用者,目前已有 80.84 萬枚 KAVA 支援提案。
跨鏈沒有最優,只有最合適的方案
Vitalik 在為 R3 所寫的《跨鏈互操作性》報告中闡述了三種跨鏈方案,公證人機制、側鏈/中繼器模式、雜湊鎖定。目前,除了以上三種方案之外,較為主流的還有分散式私鑰控制以及多技術混合機制。
律動根據《跨鏈互操作性》以及公開資料對目前較為主流的跨鏈機制進行了總結:
從效能對比來看,每一種跨鏈方案都有自己的優點和不足,公證人機制需要多名可信第三方公證人,容易導致過於中心化問題。同時,公證人機制和側鏈/中繼模式在安全性和交易速度上都比較低,容易遭到攻擊。雜湊鎖定則是在發展上具有較大的侷限性,雖然支援跨鏈資產抵押,但是無法進行跨鏈資產轉移,並且不支援直接使用預言機。當然,雜湊鎖定在實現上較為容易和安全性高,因此更適合專案的使用。
此前被盜 6.1 億美元的 Poly Network 在設計上使用了中繼器模式,從而實現了異構鏈跨鏈。注重協議安全的 Kava Swap 這是在設計上偏向於雜湊鎖定。不同之處在於,Kava Swap 使用者擁有跨鏈與否的准許許可權,當進行跨鏈操作時,需要使用者在自己的錢包上進行簽名確認跨鏈。
雜湊鎖定最早出現於 2013 年,並於比特幣閃電網路首先應用。雜湊鎖定的本質是一種智慧合約。在 Kava Swap 系統中,每一條 Kava Swap 支援的公鏈都有一個 deputy 錢包,資金的出入都需要經過 deputy 錢包的許可。
假設使用者想要將資產從 Binance Chain 跨至 Kava 上,資產將會在 Binance Chain 鎖定。如果在截止時間前未收到密碼,將資產退還使用者。同時,deputy 向 Kava 公鏈傳送訊息,使用者鎖定了 X 枚代幣,如果在截止時間傳送解鎖密碼,將在 Kava 鏈上傳送等額代幣給使用者。使用者在 Kava 鏈上接收到代幣的同時,deputy 向 Binance Chain 傳送訊息,永久鎖定 X 枚代幣。從 Kava 跨至 Binance Chain 則相反。
作為使用者,該選什麼跨鏈協議?
上文提到的各種跨鏈方案和設計最終都離不開使用者的使用。作為使用者,除了使用體驗的區別之外,便是對資產安全的關心。須知安全性在提升的同時,駭客也在不斷研究漏洞。
根據律動 BlockBeats 統計,近期遭受攻擊的 DeFi 協議中,除了少數幾個協議之外,極少能夠從資產損失中恢復。
7 月 4 日,基於 Polkadot 區塊鏈的跨鏈交易協議 RAI Finance 發文稱,因 ChainSwap 智慧合約漏洞,與其連線的 RAI 訪問和支付許可權地址被駭客攻擊和盜用,帳戶中被盜 RAI 總額達 290 萬枚。ChainSwap 以 50% USDC 和 50% 平臺代幣 ASAP 的方式進行賠付。截止發稿,RAI 和 ASAP 價格皆恢復至被攻擊前的水平。
7 月 12 日,Anyswap 多鏈路由 v3 版本遭到攻擊,損失約 240 萬 USDC 和 551 萬 MIM。Anyswap 提供了全額賠償,並於 48 小時填充了流動性。截止發稿,Anyswap 的鎖倉量、交易量並沒有因為駭客攻擊而受到影響,反而有所上升。
觀察代幣價格、生態系統能夠快速從被攻擊中快速恢復的協議,不難發現都具備一個特點,團隊反應迅速並對受害使用者進行賠付。
作為去中心化應用,遭受攻擊是平臺與使用者都不願意發生的事情,然而並無法完全杜絕。因此在發生之前便考慮好事件發生後的預案是每一個團隊都應該進行的。Kava Swap 在創立之初便透過社羣治理成立了一個金額高達 1000 萬美元的 SAFU 基金。當使用者遭遇漏洞、駭客、清算失敗等因技術問題而產生的資金損失後,可獲得相應的補償。
在鉅額資產被盜的背景下,跨鏈應用正處於一片質疑聲中。這是正常現象,正如世界是螺旋上升一般,DeFi、跨鏈也是如此。不過,在上升路上,選擇一個正確的協議便顯得更加重要。
參考資料:
《Chain Interoperability》
《區塊鏈跨鏈技術發展及應用研究綜述》
《Kava Concepts》
*律動 BlockBeats 提示各位投資者防範追高風險,本文所提觀點不構成任何投資建議。
--更多區塊鏈行業資訊,歡迎掃碼訪問官網--
