BRIDGE:解析 Tokenbridge 工作原理及如何保证可靠性和安全性_BRIUM价格

前段时间，AxieInfinity的底层区块链网络RoninNetwork失窃6亿美金，直到用户无法从跨链桥RoninBridge提款后盗窃案才被发现。跨链桥的资产安全问题再次引发热议。

事后，SkyMavisCOOAlexsanderLarsen表示，“RoninBridge被攻击不是因为智能合约存在漏洞，而与社会工程和人为错误有关”。AxieInfinity的投资方AnimocaBrands联合创始人YatSiu曾在采访中提到，“如果一座桥梁能够铸造代币，那它就像铸造机一样……桥梁是权威，但如果它们设计不当或存在漏洞，就会对生态系统构成巨大风险。”

本文我们具体聊聊Tokenbridge的工作原理以及如何保证可靠性和安全性。

一、Tokenbridge的特性和模型

在ethereum生态中，tokenbridge允许用户在两条链上传输数据，并且提供了快速和安全的链接。tokenbridge作为主链和侧链之间的桥梁，对于资产和数据的转移起到了决定性的作用。

摩根大通：美国的监管打击正在迫使本地加密公司在海外寻找机会:金色财经报道，摩根大通周四在一份研究报告中表示，美国的监管打击正在推动本地加密公司在海外寻找机会。

以Nikolaos Panigirtzoglou为首的分析师写道：“Binance.US取消了与Voyager的交易，而Coinbase则在美国以外推出了加密衍生品交易所Coinbase International，作为应对美国监管压力不断上升的积极措施。”

摩根大通表示，打击行动增加了加密公司的压力，但更重要的是，以太坊是否为证券等重要问题仍然不明朗，这最终将影响加密货币的需求和流动性。

该报告称，监管打击也“阻止了机构投资者参与加密货币市场”，正因为如此，投资者一直在购买黄金而不是比特币，以对冲硅谷银行倒闭后可能出现的“灾难性情况”。[2023/5/5 14:45:16]

1.链与网络的定义

Native：本地链是一个快速并且便宜的网络，所有收集validator的bridge操作都在native这一侧执行。

分析师Alex Krüger：美国SEC寻求的禁止质押可能会推动链下或海外的质押:金色财经报道，2月9日，美国SEC主席Gary Gensler和SEC称Kraken及其“质押即服务”产品通过其质押服务提供未注册的证券。因此，Kraken暂停了质押即服务，加密货币市场大幅下滑。

2月10日，分析师Alex Krüger对SEC主席最近的监管打击行动给予了积极评价。Alex Krüger表示，美国证券交易委员会正在寻求的禁止质押可能会推动链下或海外的质押。这将使以太坊进一步去中心化，因为它将不再受到美国监管机构的打击。[2023/2/11 12:00:18]

Foregin：这边可以是任何链，但通常是指以太坊的主网。

ERC20：在ERC20-ERC20bridge模式中，ERC667作为ERC20的实现可以在NativeSide端被创建和销毁。

2.BridgeModes

bridge可以被配置成多种网络方式。当前支持的方式包括Native-to-ERC20?模式，ERC20-to-ERC20模式，ERC20-to-Native模式和AMB模式。

BIT Mining出售中国彩票业务并专注于海外加密挖矿:金色财经报道，加密货币矿企BIT Mining Limited宣布决定取消其可变利益实体（“VIE\") 结构，并出售其中国彩票相关业务。随着VIE结构的取消，BIT Mining已退出中国彩票相关业务，将专注于海外加密挖矿业务。[2021/7/24 1:12:37]

ERC20toERC20：?兼容的ERC20token被锁在foreignnetwork，同时在native边创建erc20token；当从navtive向foregin转移时，erc677token被销毁，erc20token被unlock。

ERC20toNative：coins被锁在foregin边，同时在native边创建erc20token。xDai用的是这种模式。

AMBBridge：在两个链之间可以传递任意的数据。例如，允许传输nfttoken以及它们的metadata。

3.Bridge?Components

海外论坛Reddit加密板块用户已超15万:1月31日，自上周散户投资热潮涌起，Reddit的r/bitcoin版块每周新增2万至3万名用户。加密板块注册用户数量一周飙升至逾15万。其他与加密货币相关的Reddit版块也出现了显著增长。在1月17日的那一周，r/Ethtrader板块增加了大约15120名用户。有人可能会把这归因于Reddit上围绕投资的热潮，尤其是像GameStop这样以海外论坛为驱动的股票。[2021/1/31 18:30:54]

bridge也包括一些组件，内容如下：

tokenbridge：监听事件，发送交易去授权资产传输；

bridgeuiapplication：在链之间传输tokens和coins的dappgui工具；

bridgemonitor：?检查余额和未处理的events的工具；

bridgedeploymentplaybooks：可选的playbook。对于远程部署，可以管理tokenbridge的配置；

声音 | 人民日报海外版：中国力推区块链技术自主创新 仍面临诸多挑战:人民日报海外版今日刊文《中国力推区块链技术自主创新》。文章表示，区块链技术发展前景广阔，应用场景广泛，但仍面临诸多挑战。第一，融合问题仍有待探究。区块链的关键词是“平台”。发挥区块链的作用，需要充分发挥其平台功能。如何将区块链技术与如物联网、大数据、人工智能等其他新兴技术相结合，最大化发挥其效能，仍是需要探讨的问题。第二，核心技术攻关是关键。我国在区块链发展上更偏重应用，相较于西方国家，在核心技术上仍有一定差距，关键技术的缺失会直接导致新的“卡脖子”环节。由于全球区块链技术发展尚处于早期阶段，若能把握机遇，进一步加大投入，给予更多政策支持，重视基础研究和多方面尝试，攻关核心技术，占据主动地位，将大大提升我国在该领域的国际话语权和规则制定权。第三，可监管能力需继续加强。区块链的良性发展需要依托可监管能力的提升，尤其需要结合国情，加强在数据和隐私等方面的保护力度。第四，亟待高端人才持续助力。区块链是密码学、计算机科学、经济学等多学科的融合技术，同时，区块链的发展需要与前沿技术融合。这就需要大量高端复合型人才。只有加强人才队伍建设，建立完善的区块链人才培养体系，加大国际高端区块链人才的引进与培养，才能为我国区块链领域的发展持续助力。[2019/11/25]

bridgesmartcontract：管理bridge的validator，收集签名和确认资产传递和丢弃。

为了方便理解，我们看一个usercase：

这个ERC20-to-ERC20模式的tokenbridge，展现了用户如何在主链和侧链直接相互转账。具体流程如下：

1.用户通过交易所购买了需要的tokens；

2.用户把购买的token锁在foreginbridge的智能合约里面，同时这个event会通过tokenbridge进行传递，在nativebridgecontract中会创建erc677标准的token，同时发送到用户账号上；

3.用户通过sidechain提供的dapp，使用dapp；

4.用户想把sidechain的资产转移回主链，通过燃烧erc677的token，tokenbridge把消息传递到foreignbridgecontract，智能合约解锁token；

5.用户把解锁后的token，通过交易所卖掉。

tokenbridge的基本定义，概念，流程都介绍完成了，那么如何去管理一个tokenbridge呢？包括对于tokenbridge的升级，维护，配置等等。这里就需要介绍tokenbridge中的角色。

二、TokenBridgeRoles

tokenbridge上的管理员负责bridge的安全，升级和智能合约的部署。管理员的操作都是通过多签名来确保安全的。???

AdministrativeGroupsandRoles

管理员负责管理bridge的智能合约，并负责validator的管理。管理员分为以下三个组：

1.GroupA-负责管理validator的集合

添加或者删除validators；对于validators设置最小所需要的签名数量。?2.GroupB-负责管理bridge的参数

对于user和validators设置每日限制；设置每个transaction的min和max的限制；设置gasprice的fallback；设置终止阈值。?3.GroupC-管理升级

智能合约的升级；解锁funds。

ValidatorsRoles

提供100%的正常时间用于传递transactions；

在nativeside监听UserRequestForSignatures的事件，并签署一个批准对于传递的资产在foreignside；在nativeside监听CollectedSignatures。一旦收集到了足够的签名，传输所有收集到签名给foreginside；在foreignside监听UserRequestForAffirmationorTransfer事件并对于资产从foregin到native，发送一个准许给nativeside。validator的主要作用一方面是监听两边的时间，另外一方面对于交易的传递做校验和传递。

Ronin被盗事件中，攻击者就是通过控制验证节点的方式盗取资产。Ronin链有9个验证节点，存、取加密资产需要9个验证者签名中的5个。攻击者设法控制了SkyMavis的4个Ronin验证器，另一个被控制的是由AxieDAO运行的第三方验证器。SkyMavis是AxieInfinity的开发商。

了解了跨链桥的工作机制后，对于如何规避Ronin事件类似的跨链桥安全问题的再度发生，从社会工程的角度，我们有以下几点思考：

跨链桥项目要关注签名验证节点的安全性，确保敏感信息安全存储；如果跨链桥项目的签名是在线下进行的，网络必须更新签名的安全策略，关闭相关的服务模型，同时要考虑签名账户地址被泄漏的风险；验证签名不仅要采取多重签名的方式，还要确保多签事实上属于执行隔离，签名内容的验证过程必须独立进行。

UserRoles

这里就不做过多解释了，主要就是在主链和侧链之间发起资产传递的请求。

三、Component-Monitor

tokenbridgemonitor的主要作用是识别tokenbridgeoracle过程中出现的数据不一致和异常情况。monitor从tokenbridgecontract获取数据以及bridge中的transation，分析他们的健康状态，并通过Json的数据格式展现出来。

四、总结

我们从另外一个视角分享了sidechain和mainchain的关系，在两条链中资产和数据的传输是通过tokenbridge来保证的：

tokenbridge通过权限角色模型并借助多签的方式，管理bridge的角色和配置；validators负责两边transaction的确认和传输；monitor负责监控数据的一致性和异常情况。但是这也暴露了一个问题，tokenbridge的管理权限在admin手中，而admin使用是通过多签的方式保证安全的，是一种弱中心化的管理方式。所以，对于admin私钥安全性的管理就成为整个tokenbridge最核心的安全问题。

标签：BRIDGEBRIDGERIDGECorgi of PolkaBridgeBRIUM价格edgeswap币价格

XLM热门资讯