包装代币 vs. 原生桥接:两者有何区别,哪种更安全?——CoW DAO

CowSwap 发布于 2026-07-07 阅读 18

本文对比了跨链桥的两种核心模式:包装代币(lock-and-mint)与原生桥接(burn-and-mint)。

封装代币 vs. 原生桥接:有什么区别,哪个更安全?

你想把 ETH 从以太坊转移到 Arbitrum。或者把 USDC 从 Base 转移到 Optimism。很简单,对吧?但你的 ETH 实际上无法离开以太坊。没有区块链资产能做到。跨链的从来都不是原始代币——而是一个承诺、一个证明或一个全新铸造的副本。封装代币原生桥接的区别就在于这个承诺是如何做出的,以及你信任谁来兑现它。

“另一端谁兜底?”——这个问题是你在跨任何有价值的东西之前需要理解的最重要的一点。

在这篇文章中,我们将分解每种模型的实际工作原理,分析它们失败时会发生什么(使用真实黑客案例,而非假设),并最终给出一个直截了当的答案:哪个更安全——以及当“更安全”的选项对你来说并不可用时该怎么办。

首先:没有资产真正“跨越”链

区块链是封闭系统。以太坊不知道 Arbitrum 的存在,反之亦然。桥接是一种基础设施,它通过在源链上执行两种操作之一——锁定资产或销毁资产——然后在目标链上生成对应的资产,从而模拟跨链移动。

其他一切模式都是这两种思路的变体。

封装代币:锁定并铸造

这是最原始的桥接模式,也是 WBTC(封装比特币)最初进入以太坊的方式。

  1. 你将 1 BTC 发送到一个托管地址或智能合约。
  2. 桥接运营商确认存款,并在以太坊上铸造 1 wBTC。
  3. 你的 wBTC 现在就成了一张取款凭证——一个代表比特币、但并非比特币的代币。
  4. 要取回你原来的 BTC,你需要销毁 wBTC,然后桥接释放锁定的比特币。

关键就在第一步:必须有东西来持有原始资产。这可能是单一托管人、多签签名者组或去中心化的验证者集。无论是什么,你的封装代币的价值完全取决于它能否永久、无停机地保持锁定安全,抵御地球上所有攻击者。

这是一个永久且不容协商的依赖项。你的资金作为封装资产存在的每一天,都暴露在保管金库的人的风险之下。

原生桥接:销毁并铸造

较新的、更简洁的模式完全跳过了封装资产这一步。

  1. 资产在源链上被销毁——即被摧毁,而非锁定。
  2. 发行方(而非桥接运营商)验证销毁,并在目标链上直接铸造真正的原生资产。

Circle 的 CCTP(跨链传输协议) 是最清晰的例子:通过 CCTP 将 USDC 从以太坊桥接到 Arbitrum,以太坊上的 USDC 被销毁,而原生 Arbitrum USDC——该链上其他人都在使用的同一种 USDC——被铸造出来。没有像“USDC.e”这样的合成代币在流通。没有托管人坐在一堆锁定代币上。只有该资产的单一规范表示。

规范 L2 桥接(Arbitrum 官方桥接、Optimism 桥接、Base 桥接)基于类似原理:它们直接嵌入到 Rollup 协议中,并继承以太坊自身共识的安全性,而非依赖于桥接运营商引入的独立验证者集。

代价是速度——从乐观 Rollup 提现回以太坊可能涉及七天的挑战期——但在此之上没有增加额外的信任假设。

哪个实际上更安全?

封装代币并不必然意味着不安全,原生桥接也不必然意味着安全——但两种模型在结构上以不同的方式失败,了解这些失败的实际情形是值得的。

封装代币桥接往往因托管方被攻破而失败。我们来看看一些著名案例:

  • Ronin 桥接(2022年3月,约6.25亿美元)——Sky Mavis 运营着 Ronin 的 9 个验证者节点中的 5 个。一个先前从未撤销的签名委托让攻击者通过一个免 Gas 的 RPC 节点获得了所需的第五个签名。没有智能合约被攻破。当桥接收到五个有效签名时,它完全按照设计运行——只是它本不该有五个有效签名可处理。
  • Wormhole(2022年2月,约3.26亿美元)——相反模式的失败。守护者验证者网络从未被攻陷;漏洞是一个智能合约 bug,让攻击者完全绕过签名验证,在 Solana 上凭空铸造了 120,000 wETH。
  • Multichain(2023年7月,约1.25亿美元)——所有被泄露的私钥都追溯到单一控制点:CEO。

不同的根本原因——社会工程、代码漏洞、密钥中心化——但模式相同:封装资产是一个由某人背书的承诺,而这个某人是一个单点故障,这是持有原生资产本身所没有的。

原生规范桥接消除了这种特定的故障模式——没有托管人可以攻击,也没有合成资产可能失去支撑。这并不意味着它们没有风险(发行方自身的销毁/铸造逻辑中的 bug 仍然是 bug),但它确实意味着历史上某一类桥接黑客攻击——多签妥协、托管人作恶的类别——根本就不适用。

那么,是否有更安全的桥接选项?诚实且不华丽的答案:原生桥接在结构上消除了托管人风险;封装代币则不然,这是设计使然。

对于像 USDC 这样的规范资产,这使得销毁-铸造路线成为明确的默认选择。对于没有原生跨链标准的尾部代币,一个经过充分审计、长期运行、去中心化的封装代币桥接可能仍然是唯一的选择——在这种情况下,验证者去中心化和审计历史才是真正值得尽调的东西。

CoW Swap 的位置

这正是 CoW Swap 的跨链兑换功能旨在为你解决的问题。当你在一次流程中完成兑换和桥接时,CoW Swap 的求解器会竞争为你找到最佳兑换路径,同时路由层会比较 Bungee 和 Near Intents 等桥接提供商,以找到最快、最可靠的路径——并向你展示具体使用哪个桥接,并且你还可以覆盖并手动选择。一个意图,一个签名,你不必在跨链前的晚上 11 点还需要审计验证者集。

要点

每个桥接,无论是封装还是原生,都在回答同一个问题:我信任什么来让这个资产在另一端变得真实? 封装代币用托管人来回答。原生桥接用发行方或用链自身的共识来回答。知道你在得到哪个答案——以及你的资金暴露在其中多久——才是整个游戏的关键。

分享

复制

  • 原文链接: cow.fi/learn/wrapped-tok...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论