利用共享安全性实现安全的跨链互操作性：拉格朗日状态委员会及其他

随着对区块链桥的攻击导致数十亿美元的损失，关于跨链安全的讨论常常引发激烈的辩论并不令人惊讶。但我们相信应采取更务实的方法——一种从基本原则分析安全互操作性问题并设计机制以提高跨链应用及其用户的安全保证的方法。

在本文中，我们将探讨共享安全的概念，并解释共享安全设计（如拉格朗日状态委员会）如何降低为互操作性协议引入有意义的安全特性的启动成本。尽管我们关注跨链通信协议的共享安全，但任何去中心化应用——无论使用案例如何——都可以利用这一新兴技术实现充分的去中心化和信任最小化，而无需承担过高的操作开销。

非正式的共享安全介绍

“共享安全”是指一个协议从外部来源获得的安全性。在共享安全方案中，由参与一个协议的参与者（例如资本或计算能力）集中起来的资源被用于为另一个协议创造经济安全。共享安全与标准模型不同，后者中每个网络都对其安全负责。

例如，比特币和以太坊等公共区块链结合了共识算法与抵抗Sybil（Sybil-resistance）机制（如工作量证明或权益证明）来保证活跃性，同时增加对抗攻击的成本（例如Sybil攻击、长程攻击、生态攻击、时间劫持攻击 和贿赂攻击)。

尽管共享安全方案的运作方式各不相同，其目标通常围绕两个方面：

• 在不增加额外风险（风险堆叠）或引入额外安全假设的情况下，提高区块链网络中的资本效率。
• 改善区块链网络（特别是新兴协议）抵御无效状态转移、重组、审查抵抗及其他针对协议活跃性和安全性的攻击的能力。

共享安全并不是一个全新的概念；例如，合并挖矿于2011年引入，使矿工们能够使用相同的加密工作量证明（PoW）在两个（或更多）不同的PoW链上创建区块，实现Nakamoto共识。这允许较新的基于PoW的协议（如Namecoin和Rootstock）共享安全性，通过重用为维护比特币网络而分配的计算资源，增加新协议上区块的难度，因为它们本身的代币尚未获得足够的价值吸引重要的矿工兴趣。

尽管如此，合并挖矿被认为为去中心化网络提供了一种较弱的经济安全形式，因为缺乏可追溯的安全保障。在学术文献中，可追溯安全反映了协议检测节点（可证明地）违反协议规则并惩罚恶意行为的能力。例如，基于权益证明的协议要求节点在参与共识前锁定抵押物（通过将协议的原生代币进行质押），并可以在发现验证者的不当行为证据时销毁/冻结（“削减”）这些抵押物。

在合并挖矿的情况下，故意接受无效区块的节点无法被可靠地检测到。此外，无法惩罚这些节点（即使识别出它们也无能为力），因为这需要采取如销毁或摧毁挖矿硬件这样极端的措施。虽然合并挖矿链的代币价值因其安全性受到攻击而可能贬值的威胁可能足以阻止拜占庭行为，但恶意矿工的损失相对较小，因为原始链的价值（即比特币）不太可能受到影响。

现代的共享安全理念不仅演变为包含可追溯的安全性，还转向使用一种不同的投资单位——资本——作为共享安全的基础。在这种设计中，有一个基础协议为其他基于PoS的协议提供安全；节点首先加入主网络（通过将网络的原生代币作为质押锁定）然后参与保护次网络。

这种设计可以采取不同的形式：

• 验证者同时参与主网络和次网络
• 从主网络中随机抽取一个验证者子集来验证和保护次网络
• 次网络由在主网络上进行绑定的独立验证者组合来保护
• 主网络的验证者将质押的资本重新委托给次网络的验证者

共享安全模型 将经济资源整合起来，以同时保护多个网络。 (source )

无论实施细节如何，上述共享安全方案的关键细节是基础协议必须具备惩罚在次网络上恶意行为的验证者的能力。由于用于保护次网络的资本较少，因此恶意超多数人劫持协议的可能性是一个真实的担忧。

解决方案是确保一个或多个诚实参与者（形成较小的群体）能够通过发起争议并将违反协议行为的证据发布到基础层来追究多数人的责任。如果基础协议（作为“法官”）接受该证据，那么不诚实的一方可以通过削减本质上在主网络上抵押的担保来介入惩罚。重要的是，基础层只需验证提供的证据，而不需要执行额外的共识，就能解决争议——减少协调开销。

更微妙的一点是，不当行为必须能够归责于某一方才能使削减机制有效。在基于PoS的网络中，验证者需要生成一个公钥-私钥对，该对作为共识协议内的唯一密码身份。在日常职责中，如提议区块或证明（区块有效性），验证者使用其私钥签署区块数据——有效地将其绑定到这一选择。

这使得可以对不同的行为进行削减，这些行为将被视为对协议安全或活跃性（或两者兼而有之）的攻击：

• 在同一时间点签署两个相互冲突的区块（正式称为“错误行为”）
• 签署一个无效区块（不论是在提议还是认证中）
• 阻止一个或多个交易
• 隐藏区块数据的某些或所有部分

虽然前两项违规行为可以通过检索验证者的公钥从其签名中进行检测，但后两项行为则需要其他机制，例如可用性清单和纠删码。在所有情况下，密码学的使用使得能够可靠地检测和惩罚恶意行为，从而影响协议中某些期望的安全属性——例如对审查的抗性和交易的有效性。这对于“密码经济安全”的含义提供了一定的背景，其中涉及将密码机制与经济激励相结合以保护去中心化网络。

我们可以使用一个新的PoS区块链的示例来说明这一概念，并将其与合并挖矿进行比较，该区块链共享以太坊的安全性。我们的示例协议具备以下属性（注意这是一个用作说明的过于简单化的例子）：

• 节点运营商需要在以太坊智能合约中存入指定金额的ETH代币作为抵押，才能在PoS网络中注册为验证者
• 在历元中，PoS协议的区块提议者将区块头的哈希（包括验证者的签名）提交给以太坊并存储到一个智能合约中
• 安全性基于欺诈证明——母链（以太坊）不会验证状态转移，但它可以验证一个反例，证明特定的状态转移是无效的
• 如果某一特定状态转移受到一个或多个方的质疑，将会启动链上削减机制

现在，假设次网络中的恶意多数节点共谋完成一笔无效区块以窃取存入桥合约的资金。在这种情况下，一个诚实的验证者会通过发布欺诈证明并识别违反协议的验证者，触发以太坊上的链上削减机制。如果协议规则允许削减验证者的全部质押，那么腐败PoS链的成本与大多数验证者质押的金额成正比。

该示例表明可追溯安全如何支撑共享安全设计，并有效地使较小的网络能够受到由资本充足、去中心化和无信任更高的较大协议的保护。我们还可以看到，与合并挖矿相比，基于权益证明的机制导致了具有更强安全概念的共享安全设计（合并挖矿是以计算能力为经济安全的基础）。

此外，它引入了使用其他网络代币进行质押的新协议的想法，以减轻“启动问题”（新区块链协议由于其代币尚未获得足够的价值而具有低经济安全）。尽管启动问题可以通过某些以硬件投资作为经济安全单位的方法解决——例如合并挖矿，但因某些原因（之前已经识别的一些原因），这种类型的共享安全在某种程度上是次优的：

• 资本投资——本应对验证节点的不当行为施加重大成本——是隐含的，难以用于经济安全。在PoW合并挖矿的情况下，将资本投资明确化需要在可能的不当行为发生时采取一项极端措施，如销毁挖矿硬件，而这在现实情况下并不现实，且难以利用。
• 合并挖矿（或任何共享安全设计，其中参与共识与运行基础设施相关）难以扩展。例如，合并挖矿时可以同时合并的PoW链数目存在上限，超过上限后矿工的投资回报率（ROI）将开始下降。

相比之下，基于PoS的共享安全方案，利用资本投资作为投资单位，具备解决有效和高效启动新网络的问题的有用属性：

• 资本投资是明确的（质押者投资资本购买代币以满足抵押要求），并可以获得强有力且具体的经济安全保证。例如，可以很容易地设想，当一个协议拥有1 ETH的质押来保护0.9 ETH的交易时，其安全性比当0.9 ETH的质押保护1 ETH的交易时要更高。
• 鉴于参与共识与“纯”资本投资相关联，因此更容易扩展经济安全，使得验证者在保护多种协议时，无需承担过高的协调开销（尤其是在硬件要求较低时）。

尽管如此，每种方法都会有缺点，通过质押实现的共享安全也不例外；例如，确定验证者在PoS协议中应放入多少抵押是一项困难的问题。我们将通过考虑上一段中的此声明将其放入上下文：“_当一个协议具有1 ETH的质押来保护0.9 ETH的交易时，显然其安全性更高，而不是当0.9 ETH的质押保护1 ETH的交易时。”

尽管该声明听上去合理，但更深入的分析揭示选择最佳债券要求的难度：

• 要求验证者提供1 ETH以保护0.9 ETH的资产将降低资本效率，导致过度抵押。
• 用1 ETH的质押来保护2 ETH的交易则会在PoS区块链中减少经济带宽（或“杠杆”），导致低于抵押。

在理想场景中，协议设计者宁愿拥有1 ETH的质押保护1 ETH的交易。但由于各种原因，在现实条件下实现这种均衡很困难；例如，单位时间内需要保护的资本数额（这取决于每个区块/历元交易的边际价值）是动态的。这使得在PoS系统中设定理想债券成为非常困难的机制问题，并成为质押型共享安全方案（如重新质押措施）的重要考量。

通过重新质押和检查点实现的共享安全

重新质押

重新质押源于再抵押——传统金融中的一种实践，贷方使用资产（以前由借方作为抵押物提供）作为担保以获得新的贷款。在这里，新的对方核心假设借用权利于原始抵押资产，当借款的实体未能按时还款时，可以拍卖该资产以追溯资金。

来自传统金融行业的再抵押示例。 (source )_

如果实现得当，再抵押可以发挥某种作用。首先，它通过重新使用资产——这些资产原本会闲置——为盈利活动提供短期融资，从而提高资本效率和流动性。如果借款的收益超过再抵押抵押品的价值，所有相关方（原始借款者、贷方及贷方的贷方）都受益。

然而，再抵押也涉及大量风险（部分原因使得这一做法在传统金融机构中逐渐不流行），尤其是对于原始借款者，有可能在清算时失去对其资产的权利。重新使用抵押品的贷方也面临风险，特别是在借款人未能按时还款时，贷方需要在对方放弃抵押资产后偿还借款。

另一个风险是我们之前简要描述过的，围绕过度抵押与低于抵押的权衡。在前面的示例中，如果B银行（约翰的银行）进入一个过度杠杆的环境——借款超过约翰的抵押品价值，并遭遇损失，那么偿还B银行的贷款（或返回约翰的资产）将变得困难。B银行可以通过让A银行（约翰的银行）借入比约翰的抵押品价值少的款项来应对此类极端情况；然而，这也使得A银行的资本效率降低，从而减少了再抵押约翰的抵押资产的收益。

相同的优缺点同样适用于重新质押。在深入之前，阐明一个重要的细节是很重要的：重新质押者的质押总是先通过基础协议。例如，Ethereum上的一个重新质押者要么必须向信标链合约存入32 ETH，或者将ETH委托给由质押服务商运营的验证者——这取决于是使用_原生重新质押_还是流动性重新质押。

从高层次来看，以太坊的重新质押所包括的内容如下：

(1). 将重新质押协议的所有权（或索赔）赋予质押的ETH。在原生重新质押中，验证者需要将其提款地址更改为管理重新质押协议的智能合约。因此，当资金从信标链退出后，不直接支付给验证者，而是通过重新质押协议传递才能到达验证者（我们很快就会看到为什么会这样）。

还可以向重新质押协议的智能合约中存入质押ETH的可替代性表示（衍生品）（流动性重新质押）。这些称为“流动性质押代币”，由质押服务商（如RocketPool、Lido、Coinbase等）发行，代表验证者质押的一部分ETH（包括奖励产生的收益），并可以按照1:1的比例兑换为原生ETH代币。

在EigenLayer上的质押模式。(source )_

(2). 选择附加的削减条件，这些条件由重新质押协议强制执行。重新质押协议通常作为“中间件”，使各种去中心化网络和应用能够接入经济安全。这些通常包括需要一组方进行某种形式验证的协议——例如预言机网络——但其原生代币未累积足够的价值以用于权益证明设置。

此类应用无需从头开始构建新的验证者集，而是通过重新质押协议 enlist现有验证者的服务。服务提供者可以为验证者的_再抵押_抵押品上指定独特的削减条件——由于重新质押协议现在控制了验证者的提款，因此可以强制执行，从而降低经济安全性门槛。

重要说明：AVS削减条件与以太坊信标链共识强制执行的削减条件是独立的，因此验证者的ETH质押即使在以太坊本身并未犯下可削减的违规行为时也可能会被削减。这可能导致我们所描述的“风险堆叠”：为了获得更高的资本效率，主网络承受比其应有的额外风险（风险堆叠对核心EigenLayer协议本身也有影响，如我们随后将看到的）。

(3). 获得额外奖励。重新质押确实会承担显著风险（例如，因链上削减机制出现错误导致被意外削减的重新质押者）。但是，就像再抵押释放流动性在传统金融中所带来的利益一样，重新质押可以提高PoS生态系统的资本效率，并为质押者生成高于平均水平的收益。

这基于以下事实，即使用再质押资本进行安全的服务必须奖励验证者以换取其服务。例如，参与预言机网络的再质押验证者将因验证预言机更新而产生的费用而获得报酬——此支付来自依赖于该预言机服务的其他第三方应用。通过这种方式，验证者仍然可以从信标链获得奖励，重新质押使得从多个PoS协议中获得收益成为可能，而无需为新的生态系统再部署新资本。

尽管我们在此示例中关注以太坊的重新质押，但其他基于权益证明的协议也已实现了再质押的变体，以实现类似目标（降低启动新协议/应用的成本，提高资本效率，扩大经济安全）。实际上，下一部分讨论EigenLayer——以太坊的首个重新质押协议，然后继续介绍其他生态系统中的重新质押。

EigenLayer

EigenLayer是一个重新质押协议，旨在扩展以太坊的经济安全，以保护新的分布式应用、网络和协议（统称为“积极验证服务”或AVS）。如果你已经阅读上面的内容，描述了以太坊上的重新质押示例，那么你已经大致理解了EigenLayer的操作；然而，我们将包括一些更多的细节以供参考。

EigenLayer使用重新质押模型为第三方应用和协议提供经济安全。 (source )_

在将ETH重新质押（将与验证者相关的提取凭证指向EigenLayer控制的智能合约）之后，验证者需要执行他们希望操作的AVS指定的任务。例如，如果AVS是一个侧链，则重新质押的验证者必须运行侧链的客户端软件以执行交易和验证区块，并因此正确执行这些任务而获得奖励。更广泛地说，任务的性质取决于AVS的类型：

• 在数据可用性网络中存储数据；
• 为跨链桥或批准消息的跨链消息协议批准存款和取款交易；
• 为针对隐私的应用或屏蔽支付网络生成和验证零知识证明；
• 存储和验证区块头，并为跨链互操作性协议运行中继者/预言机等。

机智的读者会注意到两点：（a）AVS指定的任务可以非常任意（b）不同AVS指定的任务需要不同等级的投资和努力。为说明后者，将其可视化，在跨链协议中存储区块头所需的磁盘/内存空间少于在数据可用性网络中存储和提供数据（即使技术如可用性取样 减少了单个节点的存储负担，也较易实现）。

这也是EigenLayer允许重新质押的验证者将执行AVS指定任务的责任委托给_其他_方（操作员）的原因之一，后者与验证者共享来自AVS的奖励。这种方法对于重新质押验证者有不同级别的风险，具体取决于削减的负担在多大程度上，在操作员未能正确执行AVS任务时，在重新质押验证者和第三方操作员之间分摊。

每个AVS会指定一组条件，在这些条件下EigenLayer重新质押者的质押可能会被削减。例如，实施了空间/存储证明机制的数据可用性网络可能会削减未能按照约定期限存储数据的操作员。如果削减触发，将在EigenLayer内冻结该操作员，阻止其进一步参与一个或多个主动验证服务，并最终减少其验证者的ETH余额。

为实现削减，必须能够证明违规行为——这使得基础协议（在此为以太坊）能够裁定争议并惩罚不诚实的方。以太坊当前的设计允许最多削减50％的验证者质押（16 ETH），这使得EigenLayer在操作员违反规定时有权削减剩余的50％（16 ETH）。

EigenLayer的削减机制还提示了重新质押的微妙风险：通过一项服务被削减的验证者会减少其在EigenLayer智能合约和以太坊信标链中的整体余额。然而，当削减由于特定AVS的削减逻辑中的错误，而不是可证明的违规行为而发生时，一个边缘情况就出现了。在这种情况下，来自验证主以太坊链的验证奖励损失（假定其高于验证AVS的奖励）使得从验证者的角度看，来自再质押的投资回报率变为次优。

使用EigenLayer风格的进一步重新质押还有一项风险，涉及验证者的过度抵押和低于抵押化及风险堆叠的概念。从之前的再抵押示例中我们看到，再抵押抵押品的方可能同时欠原始借款者（其抵押品用于发起新贷款）和链中最终贷方（对原始借款者承诺的押金有索赔权）。

在EigenLayer等重新质押构造中，类似的动态可能会出现，若重新质押验证者（故意或故意）同时在以太坊信标链和一或多个AVS上犯下可削减的违规行为。具体来说，若发生首次削减，其他AVS可能会没有剩余的质押来削减，这有效地使针对由EigenLayer保护的应用发起无风险攻击成为可能。

EigenLayer团队已承认这一攻击向量（请参见附录B: 对EigenLayer白皮书 的密码经济风险分析），并采取了若干步骤以应对该风险。这包括为评估AVS中验证者的低于担保和过度担保问题提供正式的启发式分析，并表示计划在推出时通过风险管理仪表板向AVS开发人员提供咨询信息。

Polkadot平行链

Polkadot的共享安全模型。 (source )_

虽然Polkadot主要以促进异构区块链之间的互操作性而闻名，但它还高度依赖于共享安全。事实上，共享安全是Polkadot生态系统中不同链可以相互交换消息，而不引入信任假设或承担安全风险的原因。

在Polkadot上，负责验证由每个平行链的合并链生产的区块（以及关联的有效性证明）的随机分配的一组验证者（在中继链上质押DOT代币）被分配到平行链（可以想成是“子链”）。合并链是负责执行平行链交易并创建“平行区块”，然后发送至平行链的验证者组进行验证的节点。

由于验证区块的有效性证明需要大量计算，平行验证者（分配给平行链的验证者的名称）因该职责而获得额外奖励。获得平行验证者批准的区块——更准确地说，对这些区块的密码承诺——被送至中继链（可以想成是“母链”）以纳入中继链。在_majority_的中继链验证者批准提到自的区块时，该平行链块便成为最终块。

最后一点非常重要：由于每个平行链上的验证者数量较少（每个分片约五名验证者），因此腐败单个分片的成本很低。为了防御这样的攻击，Polkadot协议要求平行块开始出一个随机选择的节点组进行二次检查。

如果有证明表明一个块是无效或不可用的（即部分数据丢失），诚实节点可以在主中继链上发起争议，其中_所有_中继链验证者必须重新执行争议后的区块。争议在2/3的超多数验证者对争议的任一方投票支持后结束。如果重新执行支持削减的索赔，违规的验证者将受到链上削减。

这一机制确保了Polkadot协议中的所有平行链共享相同级别的安全性，无论每个分片的验证者集的大小如何。此外，平行链从同一来源获得安全性（所有平行块均由中继链批准），因此它们可以信任来自远程分片的消息的有效性（而无需了解后者的共识或状态细节）。

跨链安全

宇宙的跨链安全使得其他区块链能够通过在Cosmos Hub上质押ATOM代币而得到保证。 (source )_

跨链安全被描述为Cosmos对重新质押的回应，并与Polkadot的共享安全模型相似。与Polkadot的中继链与平行链的关系相似，Cosmos采用一个枢纽与辐射模型，其中多个链（“Cosmos Zones”）连接到一个主链（“Cosmos Hub”）并从中获得安全性。其理由也类似于Polkadot：使新链在无需从头推动可靠的验证者集的情况下保持安全（这是一项相当困难的任务），而是通过与其他链共享经济安全——在单层中整合。

在当前版本中，跨链安全要求验证者（质押ATOM代币）验证Cosmos Hub及与其连接的所有消费者链。在消费者链上进行恶意行为的验证者风险来自对提供者链（在此为Cosmos Hub）的质押而遭遇削减。

削减违规的验证者通常需要通过提供链与消费者链之间的IBC（跨链通信）通道传输包含可削减行为证据的包。因此，跨链安全可以被视为一种再质押；此外，它还实现了一个重要目标：使在Cosmos生态系统中发布应用特定区块链变得更容易。之前，试图创建自主区块链的项目需创建一个原生代币进行质押，并吸引足够数量的验证者，为新用户提供最低安全保证。

然而，跨链安全确保Cosmos Hub（截至撰写时，保障的质押金额约为25亿美元）的安全性可以扩展到保护较新的低价值链，而无需扩展Cosmos现有验证者集的规模。

注意 : Cosmos目前的跨链安全版本 禁用了单纯基于消费者链传递的包的削减 ，这有风险于消费者链的恶意代码引发伪造削减包，并削减诚实验证者——相反，双重投票（在同一高度上签署两个区块等行为）等违规行为会在治理中遭遇社会削减。但是，社会削减自身也伴随风险，例如 近期在消费者链上双重签名削减验证者的辩论 (同时也暗示了构建共享安全协议的一些复杂性)。

网状安全是跨链安全的替代方案，旨在改善后者的缺点。验证者不仅参与提供链的工作，而是可以将质押委托给消费者链的验证者。它减轻了同时验证两个链的负担——同时参与治理和共识，减少了重新质押验证者的开销（如减少硬件要求）。

就像EigenLayer（以太坊的验证者可以让一个操作员为其代替验证一个或多个次要协议（AVS））一样，_委托验证者_无需在验证消费者链时，支付任何质押。如果委托验证者未能正确履行职责（例如，发生宕机、创建/投票无效区块），则按照协议规则在消费者链上削减委托人。

网状安全与跨链安全不同，因为它允许消费者链向多个提供链租用安全（而不是被限制为Cosmos Hub），并允许验证者选择向哪些链委托质押。虽然后者特性计划在ICS v2的推出中实施，但前者不太可能得到落实（他们在某种程度上显得更有吸引力）。

以太坊的同步委员会

以太坊的同步委员会由512名负责签署已最终确定的信标区块头的验证者组成。每256个历元（大约27小时）重组一个新的同步委员会，成员从信标链的现有验证者集选择。请注意，成员在参加同步委员会时仍需继续执行正常的验证者职责（包括证明和提议区块）。

同步委员会首次在信标链的Altair分叉中实施，以使轻客户能够验证新块（而不了解完整的验证者集）并跟踪以太坊的状态变化。由于参与同步委员会所需的工作量超过简单的信标链共识，因此成员会获得少量奖励（除了完成信标链职责的常规奖励）。

轻客户端通过从区块中提取同步委员会签名并验证公钥集来跟踪以太坊的新区块头。(source )_

然而，签署无效区块头的成员不受削减——不同于信标链。以太坊的核心开发人员为这一设计辩护，称削减恶意同步委员会成员会增加复杂性，而其他人则暗示⅔超多数成员之间串通的困难（这将需要出现得足以欺骗轻客户视为有效块头的恶意行为）。

但是，随着高价值的应用——如跨链通信协议——依赖轻客户端跟踪以太坊的状态，关于对同步委员会进行削减以签署无效的区块头的主题引起了 renewed interest（例如Nimbus客户端团队的正在进行的提案）。若执行削减，将使得参与同步委员会成为一种形式的再质押——在这种情况下，验证者选择额外的削减条件并为二级服务（签署区块头）获得额外奖励。

例如，如果验证者在同步委员会中违反协议规则，即使在参与信标链共识时该验证者的行为是诚实的，他们还是会被削减——最多到他们的最大余额。我们也可以将同步委员会与Polkadot平行链系统及其他随机抽取一部分节点来验证大区块链网络内子协议形式的共享安全进行比较（例如拉格朗日状态委员会、Avalanche的子网和Algorand的状态证明协议）。

检查点

基于检查点的共享安全方案通常涉及在固定时间间隔内，_安全消耗链_将最后状态的加密承诺发布到_安全提供链_上。例如，区块提议者可能需要在区块最终确认之前先将最新区块头的哈希发布到母链上。

这些承诺被称为“检查点”，因为母链确保子链在此之前的历史不可逆转。换句话说，母链保证并强制实施子链的（规范）时间排序，以保护它不受重新组织区块和创建冲突分叉的尝试（例如，回滚旧交易和执行双重消费）。

Polygon 1.0（前称Matic）是一个基于检查点来保护其安全性的协议示例。 (source )_

母链还可以保证子链的有效性，特别是当区块头包含有关谁确认/生成特定区块的信息时。如果某个块被发现无效，那么诚实节点可以在母链发起挑战（由母链仲裁争议），并触发对子链状态的回滚。

此外，如果在母链上实施的管理验证者质押机制（例如智能合约），可以通过在链上接受有效的欺诈证明后，削减违反协议的验证者，从而强制执行可追溯的安全性。母链保证子链的规范历史这一点非常重要，因为它防止节点通过删除区块来重写历史，以隐藏恶意行为的证据。

提交侧链（Polygon PoS）、优化（Arbitrum Nova/Metis）、汇总以及与诸如Babylon此类检查点协议兼容的链均实现览共享安全的这个形式。在所有情况下，协议通过利用一个外部区块链作为结算层（负责最终确认区块）来获得经济安全性。为了补充，Polygon PoS和Arbitrum Nova/Metis都在以太坊的链上合约中存储区块头，而Babylon将头信息从连接的Cosmos Zones流传至比特币。Layer 2 (L2) rollups 利用类似的机制（将区块根发布到 Layer 1 区块链），但有一个关键的区别：重构 rollup 的区块所需的数据也在结算层上发布。这意味着结算层完全保证了 rollup 的安全性（最终）。相较之下，重构提交侧链或乐观链状态所需的数据可能无法获得——特别是在恶意序列发生器或验证者集执行 数据抑制攻击 的情况下。

跨链互操作协议的共享安全性

在对共享安全的意义和演变进行了广泛的背景介绍后，我们现在可以深入探讨共享安全设计的新前沿。其中一个研究领域是 跨链协议的共享安全性，旨在通过利用汇集的（经济）安全性来增强当前区块链之间消息传递和桥接的方法。

这个定义可能会在读者心中引发以下问题：

• 为什么明确关注互操作协议？
• 互操作协议从与共享安全技术的集成中获得了什么好处？

在 Lagrange Labs，我们正在构建 Lagrange State Committees——一个用于需要访问跨链状态的信任最小化证明的协议的共享安全解决方案。（State Committees 结合了 Lagrange 的 ZK Big Data 证明系统和 EigenLayer 的重新质押基础设施，为跨链互操作协议创建共享安全区。因此，我们感到有必要剖析之前每个问题，并在此过程中提出将桥接、索引和消息传递应用程序与 State Committee 基础设施集成的理由。

互操作协议简介

在 Interoperability For Modular Blockchains: The Lagrange Thesis 中，我们解释了互操作协议对于连接孤立的区块链以及缓解区块链应用（及其用户）周围的流动性和状态碎片问题是至关重要的。文章中提到的一些关键示例包括：

• 实现锁定和铸造或销毁和铸造机制的桥接，允许将资产从原生区块链（其发行地）转移到非原生区块链上使用
• 允许用户在没有共享单一真实来源并且无法验证对方状态的区块链之间安全中继信息（通过数据包）的消息传递协议

我们还强调了不同类型区块链互操作解决方案的价值。例如，桥接使用户能够在不同的生态系统之间无缝流动，获取更多应用的曝光，并通过利用其他区块链上存在的收益生成机会来提高资产效率。消息传递协议还解锁了更高级的用例，如跨链借贷、跨链套利，以及依赖于在各个领域转换信息（例如，头寸和债务资料）的跨链交易和跨链保证金交易。

尽管出于不同的目的设计，但所有不同的互操作解决方案都共享一些基本属性。最重要的是，存在一种机制来验证与跨链交易/操作相关的区块链的信息——无论是由用户还是应用程序提供——是真实的。这通常是一个关于特定状态的声明（例如，存储在智能合约存储中的值、账户余额或最近最终确定的区块）存在，或在不同链上发生的交易。

以以太坊和 NEAR 之间的桥为例；当用户正在桥接资产（例如 DAI）时，桥的操作员需要验证每条链状态的以下信息：

• 在将 nearDAI 代币铸造到用户的 NEAR 地址之前，桥的操作员需要证明该用户向以太坊的桥合约存入了 DAI
• 在释放原始 DAI 存款（当从 NEAR 桥接到以太坊时），桥的操作员需要证明该用户在 NEAR 上销毁了 nearDAI 代币，并将所需的“销毁证明”收据发送到 NEAR 上的桥合约

跨两个区块链（NEAR 和以太坊）之间桥接资产的示例工作流程。 (source )

上述链之间的消息传递协议将具有类似但稍有不同的要求。如果以太坊用户请求执行跨链交易（“在 NEAR 上调用 X 合约”），则协议必须验证消息请求最初是在以太坊上发出的（通常通过调用链上合约）。

验证跨链交易声明的一种直接方式是在所讨论链上运行一个全节点。全节点从每个区块下载交易并在同步链的最新状态之前重新执行，通常是验证任何区块链上状态转换的最无信任方式。然而，运行全节点既繁琐又不必要；繁琐是因为全节点需要高硬件要求，而不必要的原因是跨链协议只需要与某些事务和合约集相关的信息。

幸运的是， 轻客户端 提供了一种简单有效的方式来跟踪事件和状态变化，而无需运行全节点。只要我们信任轻客户端的设计，我们就可以轻松下载区块头以验证由用户（或任何第三方）从源链上的一个应用程序传递到目的链上的另一个应用程序的各种状态/存储证明（区块头、Merkle 证明等）。轻客户端充当两个区块链状态的信息来源（“预言机”），如下面的图所示：

轻客户端可以通过从不同区块链中中继区块头来验证跨链状态。（source_）_

然而，这种验证跨链状态有效性的方法会遇到信任问题。Vitalik Buterin 的文章 Trust Models 对信任进行了简洁的定义：“信任是对他人行为的任何假设的使用。” 这篇文章还定义了无信任的概念（附带警告）：

许多区块链应用程序的最有价值属性之一是无信任性：应用程序能以预期的方式继续运行，而不必依赖特定行为者以特定方式行事，即使他们的利益可能发生变化并推动他们在未来以不同的方式采取意想不到的行动。区块链应用力度从不完全是无信任的，但一些应用程序比其他应用程序更接近于无信任。— Vitalik Buterin

在我们的背景下（区块链互操作性），信任在两个或多个链的状态独立地得到验证时变得不可避免。考虑以下情况：Bob 在链 A 上的应用接收到了一个证明，Alice 发起了一条消息（“在链 B 上锁定 5 ETH 并在链 A 上铸造 5 个 Wrapped ETH（WETH）”）。消息证明是一个 Merkle 证明，显示 Alice 的交易包含在某个区块中，而 Bob——因为他为链 B 运行了一个链上轻客户端——可以通过将证明与有效链 B 区块的 Merkle 根进行比较来进行验证。

然而，在区块上下文中，“有效”的含义可能有所不同：(a) “区块头属于源链上大多数验证者批准的区块。” (b) “区块头属于根据源链的交易有效性规则有效的区块其交易。”

Bob 可以将 #1 视为区块有效性的具体证明，但这基于对源链上验证者的假设：

• “ 链 A 上大多数验证者是诚实的，不会批准包含一个或多个无效交易的区块。 ”
• “ 链 A 上大多数验证者是经济理性的参与者，并且对批准包含无效交易的区块的激励较低。 ”

在这里，很容易看出这些假设中的任何一个（或两个）都可能失效——例如，如果 抵押金额 < 链 A 上交易的价值（即，能够通过欺诈交易从桥上窃取的金额），验证者有激励来最终确定一个无效区块——即使这意味着会被砍掉——因为攻击带来的利润超过了成本。

总体而言，验证跨链状态的每个机制都受制于信任假设（我们将在详细讨论这些信任假设）。关键目标——这是本文贯穿始终的主题——是我们希望将跨链通信中的信任最小化到一个级别，即各种信任假设不会对重视互操作性的应用构成重大安全风险。

这个目标很重要，因为事实证明，当你构建用于连接不同区块链的互操作协议时，且在分界线一侧运行的应用接受了关于另一侧发生的任意事件的虚假声明时，会发生不好的事情——真实而糟糕的事情。有一个例子，当一个错误使得灵巧的黑客能够 成功转发无效的（假）未发生的消息请求的证明，并在目的链上铸造代币而没有在源链上存入抵押的资产时，桥接遭受了攻击。

分析现有跨链安全机制

协议设计者们已提出了解决跨链通信中验证信息问题的方案；最常见的是利用第三方来验证跨链交易的存在/有效性。理由很简单：链 A 上的应用可能无法验证链 B 的状态，但我们可以让其验证一个我们信任或期望通过某种机制诚实的人的群体已验证一项信息（或声明）引用链 B 的状态。

这被称为“外部验证”，因为是在区块链之外的另一个方作为链上事件的真实来源（通常涉及一个或多个验证者对源链中的区块头执行签名）。一旦目的链上的应用接收到该签名的区块头，则可以根据它验证用户提供的各种状态证明（余额、事件、存款/取款等）。

外部验证：一组第三方验证者验证源链和目的链的状态，并批准跨链交易。 (source )

为了建立一些容错水平，一些互操作协议使用 门限签名方案，需要一定数量的私钥才能执行有效性签名（多重签名和多方计算（MPC）钱包是常见的例子）。但是，让一部分（k 的 n）验证者确认跨链状态并不一定是提升安全性的灵丹妙药，尤其是在小型验证者集群中。

例如，某人可能会以多重签名方案中的足够多的签名者被控制来授权从跨链桥中进行欺诈性取款 https://www.halborn.com/blog/post/explained-the-harmony-horizon-bridge-hack?ref=ghost-2077.arvensis.systems。MPC 设置则略微更安全（批准门限可以更改，并且密钥共享的轮换可以更频繁），但仍然容易受到攻击（尤其是在一个方掌控着多数密钥共享时）。

质押

一种减少互操作协议信任假设并增强跨链通信安全的方法是让外部验证者在承担验证责任之前质押抵押品作为保证金。质押为外部验证系统创造了安全性，尤其是如果验证者节点在无效区块头上执行签名或批准无效的跨链交易，则可以对质押的抵押资产进行削减。

但这种方法仍然存在不同的问题，具体取决于质押是许可的还是无许可的。许可系统（验证者必须获得白名单）通常受到一些预先批准的实体的限制，因而开发较为简单——无需投入广泛的激励设计，尤其是验证者都是公开已知并有进一步合作以维护其声誉的动机。它开销较小，因为通信——达成共识所必需——发生在知道彼此的少数几方之间。

当然，拥有一个参与者可辨识的许可系统开辟了应对对抗攻击的空间；例如，攻击者可能成功冒充或贿赂某些验证者，从而获得多数的控制权。更糟糕的是，权威证明（PoA）系统中的验证者不仅没有质押（并且只是被任命），将攻击系统的成本降到零（攻击者可以通过社交工程方案 成功妨碍 PoA 验证者 ）并劫持系统）。

由许可的验证者/中心化操作员进行的外部验证：一小组验证者利用门限签名方案（TSS）或多方计算（MPC）签名达成跨链状态的有效性。 (source )

无许可质押系统通过允许任何有兴趣的方（拥有足够资本）开始验证跨链操作来增加腐败系统的成本。如果与需要 > ⅔ 多数通过为区块头签名达成共识的协议相结合，腐败系统的成本有效等于腐败系统中多数验证者的最小腐败成本。此外，用户有更少的信任假设（验证者可能被削减），动态的验证者集群增加了采用社交工程等技术破坏特定节点的难度。

有什么可能出错呢？实际上有很多。首先，保障系统的质押金额必须大于等于在发生安全事件时处于风险的资产总价值（降低互操作协议的安全性或存活性）。如果相反成立（保障系统质押总额 < 风险总价值），那么即使是削减的威胁也无助于保证安全，因为腐败系统的利润超过到破坏系统的成本。

而且，试图实施上述安全要求很可能需要为准验证者设定更高的质押要求。这反过来又引入了资本低效的问题——因为安全依赖于验证者节点做两件事情：

• 事先质押大量资金（作为质押）来参与验证职责
• 长时间不使用这些资金（出于安全考虑，PoS 协议要求撤回需要长时间的延迟——有些长达数周或几个月——以防止极端案例，其中验证者在犯有可削减的罪行后立即尝试撤回，以避免损失）。

我们还没有提到的是，开发人员需要思考经济激励措施，以防止不诚实行为并为协议的代币设计复杂的质押功能，这为他们增加了负担。除了分散注意力从更重要的活动——如产品开发和社区参与——上转移，它还增加了为构建互操作基础架构的团队的开发过程的复杂性和认知负担。

乐观验证

“乐观验证”是解决跨链安全问题的另一种方式：我们允许 任何人 来做验证，而不是让一个信任的方或团体来认证跨链状态。关键是，声明跨链状态的方通常称为“中介”，并不要求提供所证明状态有效的证明。这来源于“乐观”的假设，即中介将诚实行事，并且只会对跨链状态做出有效的声明。

当然，我们完全预计会有一两个（或更多）中介会失去理智，这就是为什么乐观验证系统要求中介在提交状态证明之前贴上小额保证金的原因。由于即使中介的声明被看作无效，交易执行（那些引用中介报告的跨链状态的交易）也会被延迟，从而给任何监控系统的人留出足够的时间，在“质疑”期间提出无效声明。如果中介的声明被证伪，那么所贴的保证金便会被削减——其中一部分会给予质疑方。

跨链状态的乐观验证。 (source )

乐观验证将必须信任多方（k of n）或大多数（m of n）验证人为诚实转变为信任一个验证者（1 of n）的模式。为了确保乐观验证协议保持安全，则只需一个拥有足够状态数据以重新执行交易且愿意在延时期间质疑虚假交易的参与者（因此安全假设是 1 of n）。

这可以降低开销，因为系统只需依靠一个中介来正常工作（尽管我们可能需要两个或更多的中介来确保生存能力）。同时，这还减少了确保安全所需的质押金额，鼓励设定更快的保证金解锁时间（变现抵押物可一旦延迟期结束后被提取）。

此外，依赖乐观验证的互操作协议被描述为“继承底层区块链的安全性”；这基于这样的想法，如果底层区块链在线且不审查欺诈证明，则恶意中介无法逃脱不诚实行为。此外，攻击该协议也要求攻击区块链本身，因为为延长时间内审查交易需要控制网络中的大多数节点及其抵押/挖矿能力。

NEAR-以太坊桥是一个例子，一个依靠监视节点信息的乐观验证互操作协议。 (source )

但即使乐观验证也有独特的缺点。例如，对桥接交易或消息请求的最终确定和执行施加延迟就增加了延迟并降低了总体用户体验。这种类型的跨链安全还存在一些微妙的“陷阱”，可能对安全性产生影响，例如恶意方可能会质疑 有效 交易以对诚实的中介进行“骚扰”，并执行某种 DDoS 攻击。

由于欺诈证明的本质（大多数是交互式的），无效的质疑将导致诚实的中介浪费资源，包括在链上交易的矿工费用。因此，诚实的中介可能失去转发跨链信息的动机，使得存在机会的 不诚实 中介转发跨链信息。要求质疑者提供最低押金可能会阻止骚扰，但高的最低押金可能会使 诚实 观察者（没有资本）不愿质疑无效状态更新。

一些协议通过将质疑限制在一组许可的观察者来解决此问题，但这使我们回到了拥有少量（可信赖）参与者来确保系统的最初问题。该方法还可能产生几种意想不到的后果，例如减少观察者节点之间共谋的障碍，提高攻击者破坏监视系统中大多数节点的机会。

加密验证

最后一种确保跨链互操作协议的方式来自于加密证明领域。其想法很简单：与其依赖人们验证跨链状态（此前的部分已表明在某些情况下十分危险），不如使用加密验证机制——将信任假设减少到最小。

在这里，一个或多个参与者生成 SNARK（简洁非交互式知识论证） 证明一个链的（有效）状态，以用于互操作性应用程序中。这些证明是 可验证的：我们可以获取一个跨链状态的加密证明，例如从区块头生成的证明，从而确认其有效性。同时，它们也是 非交互式的：某一方生成的证明可以被 n 个不同方验证，而不需要任何人进行沟通（与交互式欺诈证明不同）。以这种方式设计的互操作协议通常具有最低的信任假设，只要底层证明系统是健全的（即，攻击者无法以微不足道的概率为无效声明创建有效证明）。

这类协议与外部验证系统不同，特别是加密证明可验证每个区块是否根据链的共识协议正确。因此，攻击者需要控制源链验证者集中所需的超级多数，才能利用跨链状态的加密证明来破坏互操作协议。

也很容易看出，这种方式消除了先前讨论的一些跨链安全机制的缺点：

1. 零资本低效：利用 zkSNARKs 验证跨链状态消除了质押/保证机制和相关的低效性，因为Token不再需要锁定期限。同样，中介在声明任何跨链交易时，也无需先发布保证金（与乐观验证相比）。由于随附的证明 简洁地 验证了声明。
2. 低延迟：无需实施延迟期——以实现及时的欺诈证明，互操作协议可在验证 SNARK 证明后立即执行跨链消息或桥接操作。然而，证明生成通常是计算密集型的，因此与基于 SNARK 的互操作协议相比，外部验证的系统可能更为高效。

加密验证的互操作协议使用有效性证明来证明跨链状态。 (source )

在评估一种“加密验证”互操作解决方案的安全性时，重要的是仔细查看有关跨链状态的实际信息在进行证明和验证的内容。零知识证明已成为许多协议所附着的流行语，以掩盖它们底层协议的真实信任假设。

例如，因为在 zkSNARK 电路中验证以太坊验证者集中的所有签名（当前为 925,000 多名验证者）可能会是昂贵的，一些协议历史上采用了其它方式推导以太坊状态的证明。一个例子是“以太坊到 X”桥（其中 X 可以是任何生态链），生成一个证明，证明大多数以太坊同步委员会已签署区块头（我们在前面介绍过）。

这是一种更可行的方法（相较于验证数千个为区块签名的验证者的公钥）。但如前所述，同步委员会中的验证者不会因为批准错误的区块头而被削减，因此，监管单位的多数人可能会合谋或被贿赂，欺骗轻客户端，从而有效危及依赖于集体的信息的桥/消息协议的安全。

此外，正如我们在 最初介绍 Lagrange State Committees 的文章中 中所解释的那样，我们阐明了，在一个理想的世界中，如果恶意同步委员会有责任被削减，则经济安全将限制在可削减的最大金额。以下是一些摘录以供参考：

轻客户端桥、ZK 桥和同步委员会证明的安全性都是基于对来自以太坊轻客户端同步委员会信号的验证。由于同步委员会的大小是固定的，因此支持它的经济安全总量也是有限的。在以太坊的同步委员的削减机制最终实施后，经济安全将如 经济安全 = 512 节点 32 Eth $1650 USD/ETH = $27,033,600_ 拥有可以入侵同步委员会的债务为 $27,033,600 * 2/3 = $18,022,400。

虽然轻客户端桥和 ZK 轻客户端桥通常被认为是跨链互操作的金标准，但它们所能保护的随机同步委员会数量是严重有限的。如之前所示，勾结节点要同时破坏所有以太坊轻客户端和 ZK 轻客户端桥必须烧掉的抵押品上限为 $18m。考虑到所有轻客户端和 ZK 轻客户端跨链桥所保护资产的总价值为 k。当 k < $18m 时，通过桥接保护的所有资产将是安全的，因为攻击变得不可行。随着 k 的增长，其 k > $27m，将为同步委员会中一组恶意行为者提供利润较高的恶意区块资格，可能危及保护的资产。

我们建议阅读整篇文章，尤其是关于以太坊的 轻客户端桥 的局限性部分，以获取更多关于依赖随机化同步委员会静态防御问题的信息。我们还建议你关注 Polyhedra Network 努力通过 ZK 电路证明完整的以太坊 PoS 共识 的努力。

Lagrange State Committees：跨链通信协议的共享安全即服务

鉴于本文的大部分引言专注于共享安全，介绍我们在 Lagrange Labs 一直在研究的共享安全解决方案——Lagrange State Committees 将会是势在必行的。在本节中，我们将探讨 Lagrange State Committee 网络的内部机制，并理解其与 Lagrange 的 ZK Big Data 堆栈以及建立工具以实现链及链间安全且 丰富 状态访问之间的关系。

Lagrange State Committees 是什么？

Lagrange State Committee (LSC) 网络是一个简单高效的 ZK 轻客户端协议，专为在以太坊上结算的乐观 rollups (ORUs) 设计（如 Optimism、Arbitrum、Base 和 Mantle）。LSC 的概念实际上与以太坊的同步委员会相似，支持希望在不承担过多信任假设的情况下使用乐观 Rollup状态的基于轻客户端的应用程序，例如桥接和链间消息层。

Lagrange State Committee 是一组客户端节点，它们通过 EigenLayer 在以太坊上重新质押价值 32 个 ETH 的抵押品。换句话说，Lagrange State Committee 网络是一个 AVS（ 主动验证服务）。每个 Lagrange State Committee 在与数据可用性 (DA) 层上最终确定的交易批处理后，确认某个乐观 rollup 的区块的最终性。这些签署用于生成状态证明，应用程序可以将其视为该特定乐观 rollup 状态的真实来自。

Lagrange State Committees AVS 的一般工作流程。

虽然以太坊的同步委员会数量限制在 512 个节点，但每个 Lagrange State Committee 网络支持不受限的节点集。这确保经济安全不是人为限制，并且验证乐观 rollup 状态的节点数可以进行扩展，从而动态提升 Lagrange 状态证明的经济安全。

Lagrange State Committee 网络如何工作？

Lagrange State Committee 协议的两个关键组件是序列器和客户端节点（“客户端节点”是注册到 Lagrange State Committee 的验证者的另一个名称）。序列器是一种中央实体，负责协调 Lagrange State Committee 网络中的证明，并将证明提供给生成状态证明的证明者。序列器节点实际上是结合了三个功能不同的模块：Sequencer、Consensus 和 Governance。

在特定间隔内，序列器模块会请求客户端节点对在 DA 层上编写的交易批处理执行结果的 rollup 区块的证明，而不是对每个乐观 rollup 区块执行此例行工作。下面是对块消息中每个元素的简要分析：(1). Block_header: 含有某个乐观 rollup (ORU) 区块最终编制的区块头。“最终性”在这里意味着根据在特定 DA 层上最终确定的交易数据，由 rollup 节点衍生的区块。例如，最终性通过 安全 L2 头 为 Optimism/OP 堆栈 rollup 和具有 以太坊相应最终性 的 Arbitrum 和 Arbitrum Orbit 链定义。

(2). current_committee:与允许签名块 b 的客户端节点相关联的公钥集的加密承诺。客户端节点应构建一个 Merkle 树，其叶子节点表示所有活动委员会成员的公钥，并使用其 BLS12-381 密钥对 Merkle 树的根进行签名。

(3). next_committee: 相关于允许签署下一个块（b+1）的节点集合的公钥的加密承诺。希望退出状态委员会的节点必须在证明期结束时向处理状态委员会 AVS 中运作的以太坊 Lagrange Service 合约提交交易，以处理操作午餐/登记。

在每个证明期结束时，如果希望在下一个证明期开始前请求离开或加入的操作者，委员会节点的集合可能会被改变。客户端节点被期望通过从 Lagrange Service Contract 检索注册到每个委员会的当前节点集合构建 next_committee 的 Merkle 树。

ELI5: 什么是状态证明？

状态证明是区块链状态的加密证明：它是结果链（链 A）的区块头证明，可用于向目的链证明状态在源链上存在，如特定交易。换句话说，状态证明代表源链在特定区块高度的状态的证明。使用前面的例子进行说明：来自源链（链 A）的块头，Bob 在目的链（链 B）上使用它来验证 Alice 的桥接交易的存在，即一种状态证明。它代表源链的状态在上一个区块和当前区块之间的修改摘要。如果 Alice 的 Merkle 证明在链 A 的区块头存储的交易树的根中得到验证，Bob就可以自信地在链 B（目的链）上批准桥接交易，因为状态证明证实了 Alice 在源链上消息请求的执行。

Lagrange State Committee 网络旨在为通过以太坊安全的乐观 rollups 生成状态证明。状态证明通过汇总来自状态委员会中至少三分之二节点的 BL12-381 签名，共同生成前述元组 (block_header, prev_committee 和 next_committee)。然后，状态证明基于证明给定区块头的单体签名的总量生成 SNARK 电路。

序列器节点使用共识模块聚合节点运营商的证明。

要求证明人对当前和下一状态委员会做出承诺的做法类似于以太坊同步委员会协议，并实现类似的目标：高效、安全地使轻客户端验证乐观 rollup 区块头的有效性。每个状态证明通过一系列 next_committee 承诺加密关联，这些承诺指明哪些节点应该签署下一个区块。因此，仅需验证一个 SNARK 证明，证明区块对象中的以下递归属性即足够：

• 至少三分之二的 n 节点在状态委员会中签署了区块 b 的头。
• 区块 b 的 current_committee 等于区块 b-1 的 next_committee 树。
• 区块 b-1 不是创造区块，或者在这三个条件下有效。

需要安全乐观 rollup 状态以及快速最终性（例如，跨链桥和消息协议）的互操作协议和其他应用程序可以使用来自 Lagrange State Committees 的状态证明，且信任假设极低。重要的是，Lagrange State Committee 网络通过实施 恶意证明人的确定性削减 和 归纳有效性证明 来保证状态证明的安全性。

Lagrange State Committee 网络如何与 ZK Big Data 堆栈进行互操作？

在 Lagrange 产品系列的第一篇文章中，我们强调了 ZK Big Data 堆栈的不同部分之间的关系：Lagrange State Committees、Recproofs、zkMapReduce 和 Lagrange Coprocessor。这些组件在结合在一起时，共同提供对状态的安全、高效访问及对状态数据的丰富、动态计算：

(1). Lagrange State Committee 网络与 ZK 大数据堆栈的其他组件集成以改善性能。我们使用 Recproofs 和 zkMapReduce 来为状态委员会创建可更新的聚合公钥（APK）证明——允许我们避免每当创建新聚合签名时解聚和重新聚合非签署者的公钥的耗时过程。

有效聚合 Lagrange State Committees AVS 中运营者的 BLS 公钥有助于提高对 AVS 的高参与率，而不增加来自状态委员会节点的证明的计算成本。这就是 Lagrange State Committees 能够支持潜在的无限节点集合并随着越来越多的资本聚集到状态委员会中而表现出超线性安全性的原因。你可以在我们关于 通过 ZK 大数据积极信任的扩展 的文章中了解更多关于这方面的内容。整合 Lagrange 状态委员会与 ZK 大数据技术栈为利用 Lagrange 状态证明的客户端应用程序带来了更直接的好处。例如，我们可以使用 Lagrange 协处理器的 zkMapReduce 功能，将来自 n 个乐观回滚链的多个状态证明合并成一个 多链状态证明。这允许“嵌套验证”，其中一个链上交易同时验证多个乐观回滚的状态，从而降低客户端服务的验证成本。

(2). Lagrange 协处理器与 Lagrange 状态委员会网络集成，以支持无信任的链下计算。Lagrange 协处理器——我们将在后续文章中深入分析——通过在链下执行计算，支持对链上数据进行廉价且可扩展的计算。与 Lagrange 状态委员会集成的跨链互操作性协议也可以与 Lagrange 协处理器集成，以便扩展其跨链功能，以包括可验证的计算。

例如，构建多链智能贷款应用的开发者可能想要计算用户在 n 不同回滚链中存入的抵押品总和。我们友好的开发者可以利用 Lagrange 协处理器来计算这个值，使用跨链协议已经依赖的任何区块头源。

为什么 Lagrange 的状态委员会网络对乐观回滚的互操作性是一个游戏规则改变者

对乐观回滚轻客户端的共享超线性安全性

目前，支持乐观回滚链之间桥接的互操作性协议独立负责验证源链的状态。这些互操作性协议的安全性取决于验证区块头是否正确的机制。一些跨链通信协议试图通过实现原生质押并要求一组验证者在确认源链的区块头之前抵押抵押品，以降低信任假设。然而，这在不同的跨链协议之间分散了经济安全，因为腐蚀每个协议的验证者集中的一部分 (k of n) 的成本更低。相比之下，Lagrange 状态委员会允许多个跨链协议从一个 单一、动态的验证者集获得安全性，该集可以扩展到无界大小。

这改变了现状——每个互操作性协议独立负责验证跨链状态的准确性——转变为多个应用可以从一个单一源消费跨链状态。与其他轻客户端协议不同，Lagrange 的状况委员会网络支持动态、无界的证明节点集。因此，保障每个证明的签名的经济权重可以随着对状态委员会的更多质押的汇集而动态扩展——从而实现超线性安全性提升，并提高针对集成跨链协议独立攻击的难度。

Lagrange 状态委员会及其在共享安全宇宙中的作用。

这有效地使 Lagrange 状态委员会成为任何跨链协议（无论其规模大小）可以接入的“共享安全区”，以实现最大安全性——类似于 Polkadot 的 Relay Chain 和 Cosmos Hub 在多链生态系统中对二级网络的保护。此外，与 EigenLayer 的重质押中间件集成，使得 Lagrange 状态委员会网络能够将以太坊的经济安全扩展到保护任意数量的下游跨链通信协议。

降低跨链产品开发团队的开销

今天，构建跨链互操作性协议的开发者必须开发基础设施，以独立运行监视器以验证他们支持的每个乐观回滚的状态。随着集成的乐观回滚数量的增加，管理每个源链安全性的基础设施开销也在增加。

与 Lagrange 状态委员会集成允许开发者将他们的安全性外包，而将资源集中于优化其产品特点。具体来说：每个 Lagrange 状态证明轻便到足以在任何 EVM 兼容链上高效验证。

为现有互操作性协议提供额外安全性

Lagrange 状态证明对用于将它们传输到一个或多个目标链的传输层是不可知的，允许互操作性应用无缝将 Lagrange 状态证明与现有安全机制叠加。例如，一个跨链预言机或具备独立验证者集的跨链消息协议可以在转发来自乐观回滚的跨链消息请求之前，将 Lagrange 状态证明作为附加的安全措施进行验证。

此外，现有的互操作性协议——一旦与 Lagrange 状态委员会网络集成——可以在不要求验证者增加监视链的数量的情况下添加对乐观回滚的支持。通过使用来自 Lagrange 状态委员会网络的状态证明，验证者只需在回滚链之间转发消息请求。目标链上的网关合约随后可以通过验证 Lagrange 状态证明来验证转发者传递的消息的存在。

Lagrange 状态委员会网络与其他跨链安全机制相比如何？

Lagrange 状态委员会与利用绑定质押/削减、许可验证和乐观验证机制（等）来增强跨链状态证明安全性的现有互操作基础设施相比，具有优势。以下是一些比较：

由无许可验证者进行外部验证

Lagrange 的重质押模型缓解了实施纯 PoS 质押作为安全机制的跨链安全机制中的一个关键问题：风险堆叠。以一个跨链协议为例，该协议要求验证者在绑定期间购买并锁定协议的原生代币。随着跨链协议原生代币的受欢迎程度变化，资产价格的波动影响网络的整体经济安全。

对于 Lagrange 状态委员会网络，价格波动的问题较小，因为委员会节点的安全基于通过 EigenLayer 进行的重质押抵押。此外，重质押的抵押降低了潜在验证者的机会成本，意味着更多参与状态委员会，为互操作协议提供更高水平的经济安全。对于用户而言，这意味着更低的费用和比独立自拓安全的互操作协议更高的安全性。

我们还注意到，传统权益证明中使用的共识协议对验证者数量施加了限制（例如，Tendermint BFT 的参与者上限为 100-200 个验证者），并防止传统 PoS 协议经常按需扩展经济安全。相比之下，Lagrange 状态委员会网络使用一种支持潜在无界节点参与共识的证明机制。这确保了网络可以动态增加证明者的数量，并由此为客户端应用程序提供更强大的经济安全保证。

由许可验证者进行外部验证

基于权威证明 (PoA) 的跨链协议依赖于小组许可节点对区块头的确认。这些方法在历史上已被证明不安全，曾出现过高调事件，包括 Ronin 黑客事件（7个验证者中有5个被攻破）和 Harmony One 桥接黑客事件（5个验证者中有2个被攻破）。

使用像 Lagrange 状态委员会网络这样一个无许可验证的系统，与由集中运营者或验证者集签署头部的效率相比，确实会稍微降低效率。但考虑到风险金额，我们认为这是一个明智的权衡。无许可验证系统还降低了公司的攻击面，因为这些公司可能最终会在许可系统中运行大多数验证者。

规范桥接

Lagrange 状态委员会网络消除了从乐观回滚发送跨链消息的延迟。每个 LSC 充当希望在不等待挑战窗口的情况下从乐观回滚进行桥接的用户的“快速模式”。乐观回滚也直接受益于 LSC 的快速最终性属性，因为它解决了 L2 用户的关键用户体验痛点。

这一保证源于观察到以下两点：(a) 切割机制旨在提高对敌对行动的成本，(b) 在 LSC 中对合谋节点的切割可以在链上以 慢速模式 进行，因为存在对质押撤回的可变时间延迟。总之，LSC 的参与者始终有动力来确认准确的跨链状态——这使跨链应用能够立即使用来自 LSC 的状态证明，且依赖于回滚的规范桥接背后的最低信任假设。

结论

本文覆盖了相当多的内容，我们希望阅读本文对处于互操作性领域的构建者、投资者、爱好者和用户具有教育意义——即便是不那么显著。通过本文，我们探讨了共享安全性、设计安全协议的含义为何以及跨链互操作性如何受益于与共享安全基础设施的集成。

我们还探讨了 Lagrange 状态委员会：我们的共享安全即服务解决方案，专为跨链通信协议设计。我们必须重申，状态委员会是我们实现安全、降低信任以及高效的互操作性愿景的一部分——特别是在加密朝着多链未来发展的过程中。

我们正在努力不懈地测试和完善我们的系统，以便为 2024 年晚些时候的测试网（最终为主网）推出做准备。如果你是一个跨链应用开发者，正在构建一个以互操作性为重点的产品，并希望通过利用共享安全的力量来改善用户的安全性，请联系我！

访问网站 | 在 Twitter 上关注 Lagrange Labs | 阅读文档

• 原文链接： research.2077.xyz/harnes...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～