LI.FI：桥接技术中，信任是一个连续统一体

LI.FI：对于桥来说，信任是一个范围

在 LI.FI，我们经常谈论桥的安全性，以及桥需要“无需信任”或信任最小化。但这意味着什么？

尽管“无需信任”这个术语被广泛用于描述区块链和智能合约，但人们经常对它的真正含义感到困惑。它就像“去中心化”这样的词一样，经常被抛出，但很少被定义或衡量。

本文是我们尝试定义和衡量不同类型桥设计所需的“信任”级别。我们发现，对于区块链桥来说，信任是一个范围。

让我们深入探讨一下！

什么是无需信任的系统？

在加密领域，无需信任意味着用户不必依赖第三方（如银行或其他个人之类的任何中介机构）来控制他们的资金以进行任何交易或转账。用户不信任第三方，而是依赖于在代码上运行的区块链和智能合约来执行交易。因此，无需信任的系统是指不依赖外部参与者来促进从 A 点到 B 点的交易的系统。但是，这是对无需信任系统的一个非常简单的定义。在技术层面上，它要细致得多。

在他们题为 “ 构建可扩展的去中心化支付系统” 的研究论文中，John Adler 和 Mikerah Quintyne-Collins 对“无需信任”一词提供了更详细的解释：“一个区块链系统是无需信任的，当且仅当其状态（即，其所有状态元素）既是活动的又是安全的。”

为了扩展 John 和 Mikerah 的想法，可以将系统的状态理解为在任何特定时间“谁拥有什么”——与系统中公共地址关联的状态元素的所有者。在这里，我们需要仔细研究两个属性：

• 安全 — 这意味着用户的资金不能被盗，也不能被永久锁定。只有所有者才能更新状态（例如：移动资金或转移资金）
• 活跃 — 活跃意味着，从某种有界时间开始，状态的所有者（例如：资金）将能够移动或转移它。

一个无需信任的系统可以同时保证其状态的安全性和活跃性。在区块链桥的背景下，状态例如可以是用户的资金。

这意味着无需信任的桥是：

1. 用户的资金永远不会丢失（永远不会被盗或永久锁定）
2. 状态的所有者，即用户，可以在特定时间段后移动或赎回他们的资金。

此外，当谈到桥时，如果桥的验证者集合的安全性高于它所连接的两个区块链的安全性，那么它们可以有效地无需信任。然而，由于确保此类系统安全所需的巨大资本，这在实践中是不可行的。例如——即使验证者集合有可能审查或窃取用户的资金，但这样做所需的资本大于对以太坊本身进行 DDOS 攻击所需的资本，那么桥也是有效地无需信任的。（关键在于，依赖于参与者没有恶意意图的系统也可以有效地无需信任，只要不诚实的行为要么是不可能的，要么在经济上没有意义。）

现在我们已经对无需信任的系统有了一个基本的了解，让我们看看为什么以及在哪些地方将信任引入到桥的设计中。从那里，我们将深入研究某些桥的设计是否真的像他们的品牌所宣称的那样无需信任。

桥中信任的根源

大多数与加密货币世界相关的人都声称区块链取代了信任——消除了信任中介机构管理其资金的需要。这是真的：区块链确实取代了信任。但是，它们不一定消除信任。相反，一个更细致的说法是，区块链最大限度地减少了信任，通常是通过将其分配给系统中的各种参与者或激励诚实行为（反之亦然）。

与区块链类似，无需信任的桥不会消除信任。相反，它们通过使用不同的设计将其分配到整个系统中。例如，一些桥引入了一个外部的分布式验证者集合来处理交易。相比之下，另一些桥则使用原子互换来转移资金，并依赖于底层区块链的分布式验证者集合。

在示例的帮助下，让我们尝试缩小将信任引入桥设计的位置。

一个完全无需信任的跨链交易是——区块链 A 上的 Alice 向她在区块链 B 上的钱包地址发送 1000 美元。

如果 Alice 想将她的资金从一个区块链发送到另一个区块链，她可以简单地将资金从她在区块链 A 中的钱包发送到区块链 B 中的钱包。这个过程没有增加任何第三方。因此，Alice 除了两个桥的验证者集合之外，不必信任任何人。虽然这是理想的，但这在理论上或实践上都是不可能的，因为区块链之间无法进行通信。

进行这种跨链转移的另一种方法是与另一个在区块链 B 上拥有资金的用户交换资金。

例如——Alice 在区块链 A 上向 Bob 发送 1000 美元。作为回报，Bob 在区块链 B 上向 Alice 发送 1000 美元。

理论上，两个有兴趣相互交易的用户可以直接这样做。但实际上，这有很多限制：

1. Alice 必须信任 Bob 会发送资金
2. 如果 Alice 每次都找不到像 Bob 这样对这种交换感兴趣的人怎么办？

虽然限制 #1 可以通过智能合约来解决，但由于限制 #2，这种模型不具有可扩展性。为了解决限制 #2 和其他问题，我们在区块链之间引入桥，这些桥充当两个区块链的“中间人”，并使它们之间的通信成为可能。

为了克服区块链之间的通信和信任边界，一些桥使用链下参与者或验证者。这些负责验证系统的验证者或验证人是桥中的信任根源，因为它们引入了验证者集合独有的新的信任假设（除了正在连接的区块链之外）。实际上，这些桥的设计非常类似于银行，因为它们以一种更中心化、基于信任的方式促进交易。

桥中信任的根源

但是，这也是跨链生态系统的希望所在，一些桥的设计不需要在中间添加自己的验证者。相反，它们使用区块链及其各自的验证者集合来使桥接成为可能。例如，使用轻客户端和 relay 或流动性网络来验证交易的桥设计不会在系统中添加信任假设。因此，信任的根源仍然与跨链转移相关的区块链上。

当我们深入研究桥的设计时，我们看到桥中的无需信任并不以绝对的形式存在——而是，某些系统比其他系统更信任最小化。如果信任的和无需信任的是两个极端，那么大多数桥都介于两者之间。

桥中信任的范围

让我们看看通过桥，信任是如何成为一个范围的。

注意：对于本文，我们将桥视为任何可以实现将资产从一个区块链网络转移到另一个区块链网络的工具。

桥中信任的范围

当涉及到桥的无需信任时，主要问题是：谁在验证系统？ 通过回答有关不同类型桥的设计的这个问题，我们可以看到，桥中信任的范围归结为以下几点：

• 外部验证者和联盟——外部验证
• 乐观桥——乐观验证
• 流动性网络——本地验证
• 轻客户端和 relay + ZK 桥——原生验证

以下是一个图表，显示了每个桥的设计在信任范围内的位置。

代码没有信任假设；只有人类有。当我们在上面的图形中从左（信任或信任人类）向右（无需信任或信任代码）移动时，系统通过消除用户依赖人类的需求，并将其分配到整个系统中或用代码替换它，从而变得更加信任最小化。

让我们看看这些不同的系统是如何运作的，以及为什么一个系统比另一个系统更/更少信任最小化。

外部验证者和联盟——外部验证

对于外部验证的系统，有一组验证者负责验证任何交易。这组验证者不属于跨链交互中的任何一个区块链。相反，它是由桥引入的，以实现两条链之间的通信。桥的验证者集合有其自己独特的信任假设，不同于底层区块链。因此，用户需要信任一个新的系统，而不是通常更安全的底层区块链的验证者集合。

通常，这些桥接系统的工作方式是将用户的资产锁定在源链上的钱包中，并在目标链上铸造等量的资产。这个钱包和铸造新资产的共识由外部验证者和联盟控制和运营。例子：

• Multichain 具有多方托管系统。
• Ronin Bridge 在 6.25 亿美元的黑客攻击之前，有一个 5/9 阈值多重签名。

即使在使用外部验证者的系统子集中，也可以使用不同的加密经济机制来进一步最小化信任（更接近于有效无需信任的范围）。按照信任最小化程度递增的顺序，以下是一些示例：

没有质押抵押品的受信任系统

验证者不必发布任何抵押品。用户基本上必须信任桥的构建者来保证其资金的安全——依靠他们的声誉和所有验证者都会诚实行事的一般善意。如果发生恶意活动，用户无法追回其资金。示例—— Binance Bridge

具有销毁抵押品的绑定系统

验证者必须发布抵押品——如果发生恶意活动，抵押品将被销毁。阻止恶意活动可最小化信任。但是，该系统不能保证如果出现问题，用户的资金将得到偿还。示例—— Polygon 的 PoS 桥。

具有削减抵押品的保险保障系统

验证者必须发布抵押品——如果发生恶意活动，抵押品将被削减。如果由于验证者的恶意行为导致资金被盗，则此削减的抵押品用于偿还用户。通过阻止恶意活动并在出现问题时偿还用户来最小化信任。示例—— Axelar。

极端情况：使用原生代币作为抵押品的系统

一些桥系统使用其原生代币作为抵押品。这些系统的工作方式与保险保障和绑定系统类似，但不同之处在于所使用的抵押品类型。在此类系统中，如果发生恶意活动，桥系统会在整个架构中遇到级联故障，因为通常，该代币在整个系统的安全性中起着不可或缺的作用。对于基于代币的桥，信任基本上是被放大的，桥的安全性也依赖于代币的价格，这使得它们信任最小化程度较低。

示例—— Thorchain 要求验证者质押 RUNE 代币，以确保系统的经济安全。如果发生恶意活动，将削减此抵押品，然后将其用于偿还用户。因此，Thorchain 的原生代币 RUNE（已被质押为抵押品）将必须分配出去以偿还受影响的用户。在这种情况下，RUNE 的抛售压力可能会增加，并且由于 RUNE 的价格下跌，整个 Thorchain 架构都会产生级联效应。

乐观桥——乐观验证

乐观桥的运行方式与 乐观 Rollup 类似。他们使用系统中诚实的观察者来监控操作并报告欺诈行为。乐观桥有一种不同的信任向量：一个诚实的验证者。乐观桥需要系统中有一个观察者来验证更新。因此，虽然乐观桥允许欺诈行为，但攻击者永远无法保证窃取资金，因为无法判断在任何给定时间是否有单个诚实的观察者正在监控系统。这种类型的设计机制极大地增加了攻击系统的经济成本，使其信任最小化程度很高（如果不是有效地无需信任）。示例—— Nomad

比较：乐观系统与外部验证系统

乐观桥在根本上不同于具有外部验证者的桥，并且信任最小化程度更高。让我们借助一个例子来分解这一点。

假设存在安全漏洞，并且在外部验证的系统中，大多数验证者的私钥被泄露（例如：Ronin 桥黑客事件）。在这种情况下，攻击者将能够窃取桥的所有资金，因为他现在可以控制该系统。但是，在乐观验证的系统中，即使攻击者设法获得所有验证者的私钥，他也仍然无法保证窃取资金，只要系统​​中有一个诚实的观察者可以“捕获欺诈”并撤销攻击者对资金的访问权限。因此，两种设置中的假设从根本上是不同的，因此，乐观桥在本质上比外部验证的桥信任最小化程度更高。

Twitter Widget Iframe

流动性网络——本地验证

本地验证的系统在给定的跨链交换中利用底层区块链的验证者集合。不是两条链上的整个验证者集合都验证一笔交易，而是两个验证者（每侧一个）验证另一条链上的交易对手。

本地验证——流动性网络

这两个验证者充当流动性网络中的“路由器”，它们：

a) 在每条链上持有流动性池，

b) 相互验证（交易对手），并且

c) 促进原子互换。

此类系统通常使用锁定/解锁机制和争议解决流程来确保用户资金的安全，并且实际上使每条链上的验证者无法串通并窃取资金。本地验证的系统实际上是无需信任的。示例—— Connext 和 Hop。

桥的无需信任不是绝对的，即使属于同一类别的桥也可以看到这一点。例如，Connext 和 Hop 等不同流动性网络系统之间的无需信任是不一样的。

虽然 Connext 和 Hop 都使用流动性网络，但 Connext 有一个活跃性假设，该假设通过让其 Sequencer 在链下计算所有内容并将路由器与交易匹配来实现扩展。相比之下，Hop 由于需要快速的任意消息桥 (AMB) 而进行信任权衡。因此，它继承了区块链底层原生桥的安全假设（例如：Arbitrum 原生桥），这些桥通常具有外部验证的桥设计。

比较：乐观桥与流动性网络

乐观桥和流动性网络都可以实现跨链资产转移。但是，它们在功能上有所不同。流动性网络可以快速进行跨链转移，但通用性有限，即跨链传递消息的能力。相比之下，乐观桥允许以信任最小化的方式进行跨链消息传递。

对于跨链协议而言，跨链传递消息的能力是有益的，并且在许多方面，是提供更多功能的必要条件。为了克服这一限制，桥采用了不同的方法。例如，Connext 在其 Amarok 网络升级 中，与 Nomad 建立了[紧密的合作伙伴关系]，以继承其信任最小化的通信（具有 30 分钟的延迟权衡）。

另一种方法是使用区块链的原生桥（例如：Avalanche Bridge、Arbitrum Bridge）。但是，此方法为系统添加了信任假设，因为非 rollup 区块链的原生桥通常经过外部验证。例如，Hop 使用区块链的原生桥来满足他们对快速任意消息桥 (AMB) 的需求。同样，许多广泛使用的流动性网络协议（如 Stargate、Synapse 等）也使用此方法。

虽然此方法对于 rollup 可以以信任最小化的方式工作，因为 rollup 利用了 Layer 1 区块链的安全性（例如：Arbitrum 使用以太坊的安全性），但考虑到非 rollup 区块链经过外部验证，因此存在信任权衡。因此，有人可能会说，乐观桥比某些流动性网络的信任最小化程度更高。

轻客户端和 Relay + ZK 桥——原生验证

对于原生验证的系统，底层区块链的所有验证者都负责验证该系统。由于用户依赖链自身的验证者进行桥接，因此这些被认为是最无需信任的桥接系统。示例—— Cosmos IBC。

原生验证——轻客户端和 Relay + ZK 桥

建立在 零知识 (ZK) 证明 上的桥也使用轻客户端和 relay 来验证跨链转移，并被认为是另一种无需信任的选择。但是，目前还没有任何生产中的无需信任的 ZK 桥。此外，构建基于 ZK 证明的桥是一个尚未得到广泛研究的概念，并且随着我们进一步深入研究，我们可能会发现新的权衡、信任假设和缺点。

结束语

我们再次看到，“无需信任”的通用方法不适用于桥。绝对形式的无需信任并不存在。对于桥而言，信任是一个范围，并且要针对影响信任最小化的特定用例进行权衡。

虽然信任是一个范围，并且一个桥可能比另一个桥的信任最小化程度更高，但所有桥都有其独特的优势和劣势。例如，一些桥可以通过采用更受信任的方法来提供更快、更便宜的跨链互换。

LI.FI 希望聚合所有相关的桥，继承其功能，并为我们的集成合作伙伴提供不同的选择；鼓励他们根据诸如用例、所需功能、目标群体、平均转移规模、预期转移频率、支持的链等因素来使用某些桥。在 LI.FI，虽然我们努力实现信任最小化，但我们认识到对所有类型的桥都有需求和需求，因此我们对集成采取与桥无关的方法。

如果你想更深入地了解我们如何处理桥集成，请阅读此主题。

我们与最聪明的人合作，旨在构建市场上最好的抽象和聚合解决方案。如果你是区块链网络、桥构建者或 dApp 开发人员，请与我们联系，让我们一起合作！

非常感谢 Mark Murdock 的所有编辑 + 头脑风暴以及 Pranay Mohan 的深刻反馈。 😄

立即开始使用 LI.FI：

喜欢阅读我们的研究吗？请为博客鼓掌并表达你的支持！要了解更多关于我们的信息，

• 请访问我们的链接门户网站 https://link3.to/lifi
• 请阅读我们的 SDK“快速入门”，网址为 docs.li.fi
• 关注我们的 Telegram 新闻简报
• 在 Twitter 和 LinkedIn 上关注我们

• 原文链接： blog.li.fi/li-fi-with-br...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～