根據(jù)區(qū)塊鏈安全公司 CipherTrace 2021 年 7 月發(fā)布的加密貨幣犯罪報告顯示，2020 年，DeFi 協(xié)議遭到攻擊涉及金額約 1.29 億美元；2021 年前 7 個月，DeFi 協(xié)議遭到攻擊涉及金額便上升至 3.61 億美元。隨后的 8 月，在 34 分鐘里，黑客又成功從跨鏈協(xié)議 Poly Network 盜走價值 6.1 億美元的加密資產(chǎn)。

這是 DeFi 歷史上涉案金額最大的一筆盜竊案，雖然事后黑客歸還了大部分資產(chǎn)，但是 DeFi 是否安全以及代碼即法律的現(xiàn)實性變得更像是薛定諤問題。只有遭到攻擊、資產(chǎn)被盜，才能判斷協(xié)議不安全。DeFi 協(xié)議中，跨鏈協(xié)議又屬于重災(zāi)區(qū)。公開數(shù)據(jù)顯示，近兩個月，DeFi 領(lǐng)域發(fā)生了 19 起安全事故，跨鏈協(xié)議占 6 起，涉及了 Poly Network、Anyswap、ChainSwap 等協(xié)議。

選擇使用哪一個跨鏈橋和判斷跨鏈橋的安全性成為了 DeFi 用戶的下一個難題。

跨鏈協(xié)議的不可能三角

區(qū)塊鏈的不可能三角已經(jīng)是老生常談的話題了。在區(qū)塊鏈系統(tǒng)中，無法同時達(dá)到高擴展性、去中心化和安全性三者。對于公鏈而言，擴展性的重要程度或許排在首位。正如以太坊創(chuàng)始人 Vitalik 所表示的，擴展性也許是排在第一位的問題，擴展性問題已經(jīng)成為很多系統(tǒng)的墳?zāi)埂５?，對?DeFi 協(xié)議，尤其是具有大量沉淀資金的跨鏈應(yīng)用而言，安全性或許才是最值得重視的。

作為 DeFi 中重要的一環(huán)，跨鏈應(yīng)用應(yīng)該更加注重安全，在去中心化和高擴展性上進(jìn)行一定的妥協(xié)。就如因穩(wěn)定幣兌換自動自動做市項目 StableMagnet Finance（SMAG）跑路而選擇報警的 L 所表示，目前去中心化世界的發(fā)展仍處于相當(dāng)早期，有太多的課題有待探索完善，如果盲目推崇去中心化極端主義以及徹底的「代碼即法律」，不會帶來真正的發(fā)展與未來。

Kava Swap 便是一個以安全為核心的跨鏈流動性中心。Kava Swap 是基于 Kava 公鏈搭建的 DeFi 基礎(chǔ)設(shè)施、跨鏈橋以及跨鏈自主 AMM 做市協(xié)議。

跨鏈橋由于流程復(fù)雜，涉及到眾多公鏈和多個合約之間的交付。因此容易在不同的地方出現(xiàn)漏洞。如 Poly Network 與跨鏈資產(chǎn)橋 ChainSwap 都是因為合約漏洞被攻擊。而多鏈路由 AnySwap 則是因為跨鏈私鑰管理問題遭受攻擊。

因為流程復(fù)雜，Kava Swap 在正式啟動前經(jīng)歷了內(nèi)部審計、外部審計以及公開測試。并且，根據(jù)公開披露的信息，Kava Swap 將進(jìn)行 4 次迭代以實現(xiàn)所有完整的功能。在第一個版本的 Kava Swap 中，將添加 BTC、BNB、KAVA 等較為主流的代幣池，并通過鏈上投票選擇添加新代幣；在第二個版本中，Kava Swap 將把功能打包至 Kava API 之中，方便用戶整合和交易；在第三個版本中，幣安智能鏈（BSC）與以太坊之間的智能流動性橋?qū)?；在第四個版本，智能自主交易功能和額外的生態(tài)跨鏈橋也將啟動。

在資金的安全上，Kava Swap 通過使用傳統(tǒng)交易平臺「冷錢包」與「熱錢包」相互配合的方式進(jìn)行?！咐溴X包」用于存放大額資產(chǎn)，「熱錢包」用于短期小額資產(chǎn)的流轉(zhuǎn)。截止發(fā)稿，Kava 與 Binance 鏈安全跨鏈超過 15 億美元資產(chǎn)。同時，社區(qū)發(fā)起了 Kava 61 號提案，一旦獲得通過，將提供價值 10 萬美元 SWP 用于獎勵交易大賽用戶，目前已有 80.84 萬枚 KAVA 支持提案。

跨鏈沒有最優(yōu)，只有最合適的方案

Vitalik 在為 R3 所寫的《跨鏈互操作性》報告中闡述了三種跨鏈方案，公證人機制、側(cè)鏈/中繼器模式、哈希鎖定。目前，除了以上三種方案之外，較為主流的還有分布式私鑰控制以及多技術(shù)混合機制。

律動根據(jù)《跨鏈互操作性》以及公開資料對目前較為主流的跨鏈機制進(jìn)行了總結(jié)：

從性能對比來看，每一種跨鏈方案都有自己的優(yōu)點和不足，公證人機制需要多名可信第三方公證人，容易導(dǎo)致過于中心化問題。同時，公證人機制和側(cè)鏈/中繼模式在安全性和交易速度上都比較低，容易遭到攻擊。哈希鎖定則是在發(fā)展上具有較大的局限性，雖然支持跨鏈資產(chǎn)抵押，但是無法進(jìn)行跨鏈資產(chǎn)轉(zhuǎn)移，并且不支持直接使用預(yù)言機。當(dāng)然，哈希鎖定在實現(xiàn)上較為容易和安全性高，因此更適合項目的使用。

此前被盜 6.1 億美元的 Poly Network 在設(shè)計上使用了中繼器模式，從而實現(xiàn)了異構(gòu)鏈跨鏈。注重協(xié)議安全的 Kava Swap 這是在設(shè)計上偏向于哈希鎖定。不同之處在于，Kava Swap 用戶擁有跨鏈與否的準(zhǔn)許權(quán)限，當(dāng)進(jìn)行跨鏈操作時，需要用戶在自己的錢包上進(jìn)行簽名確認(rèn)跨鏈。

哈希鎖定最早出現(xiàn)于 2013 年，并于比特幣閃電網(wǎng)絡(luò)首先應(yīng)用。哈希鎖定的本質(zhì)是一種智能合約。在 Kava Swap 系統(tǒng)中，每一條 Kava Swap 支持的公鏈都有一個 deputy 錢包，資金的出入都需要經(jīng)過 deputy 錢包的許可。

假設(shè)用戶想要將資產(chǎn)從 Binance Chain 跨至 Kava 上，資產(chǎn)將會在 Binance Chain 鎖定。如果在截止時間前未收到密碼，將資產(chǎn)退還用戶。同時，deputy 向 Kava 公鏈發(fā)送消息，用戶鎖定了 X 枚代幣，如果在截止時間發(fā)送解鎖密碼，將在 Kava 鏈上發(fā)送等額代幣給用戶。用戶在 Kava 鏈上接收到代幣的同時，deputy 向 Binance Chain 發(fā)送消息，永久鎖定 X 枚代幣。從 Kava 跨至 Binance Chain 則相反。

作為用戶，該選什么跨鏈協(xié)議？

上文提到的各種跨鏈方案和設(shè)計最終都離不開用戶的使用。作為用戶，除了使用體驗的區(qū)別之外，便是對資產(chǎn)安全的關(guān)心。須知安全性在提升的同時，黑客也在不斷研究漏洞。

根據(jù)律動 BlockBeats 統(tǒng)計，近期遭受攻擊的 DeFi 協(xié)議中，除了少數(shù)幾個協(xié)議之外，極少能夠從資產(chǎn)損失中恢復(fù)。

7 月 4 日，基于 Polkadot 區(qū)塊鏈的跨鏈交易協(xié)議 RAI Finance 發(fā)文稱，因 ChainSwap 智能合約漏洞，與其連接的 RAI 訪問和支付權(quán)限地址被黑客攻擊和盜用，帳戶中被盜 RAI 總額達(dá) 290 萬枚。ChainSwap 以 50% USDC 和 50% 平臺代幣 ASAP 的方式進(jìn)行賠付。截止發(fā)稿，RAI 和 ASAP 價格皆恢復(fù)至被攻擊前的水平。

7 月 12 日，Anyswap 多鏈路由 v3 版本遭到攻擊，損失約 240 萬 USDC 和 551 萬 MIM。Anyswap 提供了全額賠償，并于 48 小時填充了流動性。截止發(fā)稿，Anyswap 的鎖倉量、交易量并沒有因為黑客攻擊而受到影響，反而有所上升。

觀察代幣價格、生態(tài)系統(tǒng)能夠快速從被攻擊中快速恢復(fù)的協(xié)議，不難發(fā)現(xiàn)都具備一個特點，團隊反應(yīng)迅速并對受害用戶進(jìn)行賠付。

作為去中心化應(yīng)用，遭受攻擊是平臺與用戶都不愿意發(fā)生的事情，然而并無法完全杜絕。因此在發(fā)生之前便考慮好事件發(fā)生后的預(yù)案是每一個團隊都應(yīng)該進(jìn)行的。Kava Swap 在創(chuàng)立之初便通過社區(qū)治理成立了一個金額高達(dá) 1000 萬美元的 SAFU 基金。當(dāng)用戶遭遇漏洞、黑客、清算失敗等因技術(shù)問題而產(chǎn)生的資金損失后，可獲得相應(yīng)的補償。

在巨額資產(chǎn)被盜的背景下，跨鏈應(yīng)用正處于一片質(zhì)疑聲中。這是正常現(xiàn)象，正如世界是螺旋上升一般，DeFi、跨鏈也是如此。不過，在上升路上，選擇一個正確的協(xié)議便顯得更加重要。

參考資料：

《Chain Interoperability》

《區(qū)塊鏈跨鏈技術(shù)發(fā)展及應(yīng)用研究綜述》

《Kava Concepts》

*律動 BlockBeats 提示各位投資者防范追高風(fēng)險，本文所提觀點不構(gòu)成任何投資建議。

--更多區(qū)塊鏈行業(yè)信息，歡迎掃碼訪問官網(wǎng)--