根据区块链安全公司 CipherTrace 2021 年 7 月发布的加密货币犯罪报告显示,2020 年,DeFi 协议遭到攻击涉及金额约 1.29 亿美元;2021 年前 7 个月,DeFi 协议遭到攻击涉及金额便上升至 3.61 亿美元。随后的 8 月,在 34 分钟里,黑客又成功从跨链协议 Poly Network 盗走价值 6.1 亿美元的加密资产。
这是 DeFi 历史上涉案金额最大的一笔盗窃案,虽然事后黑客归还了大部分资产,但是 DeFi 是否安全以及代码即法律的现实性变得更像是薛定谔问题。只有遭到攻击、资产被盗,才能判断协议不安全。DeFi 协议中,跨链协议又属于重灾区。公开数据显示,近两个月,DeFi 领域发生了 19 起安全事故,跨链协议占 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等协议。
选择使用哪一个跨链桥和判断跨链桥的安全性成为了 DeFi 用户的下一个难题。
跨链协议的不可能三角
区块链的不可能三角已经是老生常谈的话题了。在区块链系统中,无法同时达到高扩展性、去中心化和安全性三者。对于公链而言,扩展性的重要程度或许排在首位。正如以太坊创始人 Vitalik 所表示的,扩展性也许是排在第一位的问题,扩展性问题已经成为很多系统的坟墓。但是,对于 DeFi 协议,尤其是具有大量沉淀资金的跨链应用而言,安全性或许才是最值得重视的。
作为 DeFi 中重要的一环,跨链应用应该更加注重安全,在去中心化和高扩展性上进行一定的妥协。就如因稳定币兑换自动自动做市项目 StableMagnet Finance(SMAG)跑路而选择报警的 L 所表示,目前去中心化世界的发展仍处于相当早期,有太多的课题有待探索完善,如果盲目推崇去中心化极端主义以及彻底的「代码即法律」,不会带来真正的发展与未来。
Kava Swap 便是一个以安全为核心的跨链流动性中心。Kava Swap 是基于 Kava 公链搭建的 DeFi 基础设施、跨链桥以及跨链自主 AMM 做市协议。
跨链桥由于流程复杂,涉及到众多公链和多个合约之间的交付。因此容易在不同的地方出现漏洞。如 Poly Network 与跨链资产桥 ChainSwap 都是因为合约漏洞被攻击。而多链路由 AnySwap 则是因为跨链私钥管理问题遭受攻击。
因为流程复杂,Kava Swap 在正式启动前经历了内部审计、外部审计以及公开测试。并且,根据公开披露的信息,Kava Swap 将进行 4 次迭代以实现所有完整的功能。在第一个版本的 Kava Swap 中,将添加 BTC、BNB、KAVA 等较为主流的代币池,并通过链上投票选择添加新代币;在第二个版本中,Kava Swap 将把功能打包至 Kava API 之中,方便用户整合和交易;在第三个版本中,币安智能链(BSC)与以太坊之间的智能流动性桥将启动;在第四个版本,智能自主交易功能和额外的生态跨链桥也将启动。
在资金的安全上,Kava Swap 通过使用传统交易平台「冷钱包」与「热钱包」相互配合的方式进行。「冷钱包」用于存放大额资产,「热钱包」用于短期小额资产的流转。截止发稿,Kava 与 Binance 链安全跨链超过 15 亿美元资产。同时,社区发起了 Kava 61 号提案,一旦获得通过,将提供价值 10 万美元 SWP 用于奖励交易大赛用户,目前已有 80.84 万枚 KAVA 支持提案。
跨链没有最优,只有最合适的方案
Vitalik 在为 R3 所写的《跨链互操作性》报告中阐述了三种跨链方案,公证人机制、侧链/中继器模式、哈希锁定。目前,除了以上三种方案之外,较为主流的还有分布式私钥控制以及多技术混合机制。
律动根据《跨链互操作性》以及公开资料对目前较为主流的跨链机制进行了总结:
从性能对比来看,每一种跨链方案都有自己的优点和不足,公证人机制需要多名可信第三方公证人,容易导致过于中心化问题。同时,公证人机制和侧链/中继模式在安全性和交易速度上都比较低,容易遭到攻击。哈希锁定则是在发展上具有较大的局限性,虽然支持跨链资产抵押,但是无法进行跨链资产转移,并且不支持直接使用预言机。当然,哈希锁定在实现上较为容易和安全性高,因此更适合项目的使用。
此前被盗 6.1 亿美元的 Poly Network 在设计上使用了中继器模式,从而实现了异构链跨链。注重协议安全的 Kava Swap 这是在设计上偏向于哈希锁定。不同之处在于,Kava Swap 用户拥有跨链与否的准许权限,当进行跨链操作时,需要用户在自己的钱包上进行签名确认跨链。
哈希锁定最早出现于 2013 年,并于比特币闪电网络首先应用。哈希锁定的本质是一种智能合约。在 Kava Swap 系统中,每一条 Kava Swap 支持的公链都有一个 deputy 钱包,资金的出入都需要经过 deputy 钱包的许可。
假设用户想要将资产从 Binance Chain 跨至 Kava 上,资产将会在 Binance Chain 锁定。如果在截止时间前未收到密码,将资产退还用户。同时,deputy 向 Kava 公链发送消息,用户锁定了 X 枚代币,如果在截止时间发送解锁密码,将在 Kava 链上发送等额代币给用户。用户在 Kava 链上接收到代币的同时,deputy 向 Binance Chain 发送消息,永久锁定 X 枚代币。从 Kava 跨至 Binance Chain 则相反。
作为用户,该选什么跨链协议?
上文提到的各种跨链方案和设计最终都离不开用户的使用。作为用户,除了使用体验的区别之外,便是对资产安全的关心。须知安全性在提升的同时,黑客也在不断研究漏洞。
根据律动 BlockBeats 统计,近期遭受攻击的 DeFi 协议中,除了少数几个协议之外,极少能够从资产损失中恢复。
7 月 4 日,基于 Polkadot 区块链的跨链交易协议 RAI Finance 发文称,因 ChainSwap 智能合约漏洞,与其连接的 RAI 访问和支付权限地址被黑客攻击和盗用,帐户中被盗 RAI 总额达 290 万枚。ChainSwap 以 50% USDC 和 50% 平台代币 ASAP 的方式进行赔付。截止发稿,RAI 和 ASAP 价格皆恢复至被攻击前的水平。
7 月 12 日,Anyswap 多链路由 v3 版本遭到攻击,损失约 240 万 USDC 和 551 万 MIM。Anyswap 提供了全额赔偿,并于 48 小时填充了流动性。截止发稿,Anyswap 的锁仓量、交易量并没有因为黑客攻击而受到影响,反而有所上升。
观察代币价格、生态系统能够快速从被攻击中快速恢复的协议,不难发现都具备一个特点,团队反应迅速并对受害用户进行赔付。
作为去中心化应用,遭受攻击是平台与用户都不愿意发生的事情,然而并无法完全杜绝。因此在发生之前便考虑好事件发生后的预案是每一个团队都应该进行的。Kava Swap 在创立之初便通过社区治理成立了一个金额高达 1000 万美元的 SAFU 基金。当用户遭遇漏洞、黑客、清算失败等因技术问题而产生的资金损失后,可获得相应的补偿。
在巨额资产被盗的背景下,跨链应用正处于一片质疑声中。这是正常现象,正如世界是螺旋上升一般,DeFi、跨链也是如此。不过,在上升路上,选择一个正确的协议便显得更加重要。
参考资料:
《Chain Interoperability》
《区块链跨链技术发展及应用研究综述》
《Kava Concepts》
*律动 BlockBeats 提示各位投资者防范追高风险,本文所提观点不构成任何投资建议。
--更多区块链行业信息,欢迎扫码访问官网--