跨链桥攻击已累计导致数十亿美元的用户资金丢失。这些事件不仅让个人蒙受损失，还拖累了整个行业的发展，更影响Web3建立稳健的链上经济、进行每日数万亿美元的交易量。如果摒弃中心化和单一网络的跨链桥，转而采用“深度防御”的跨链解决方案，在多个层级建立去中心化架构并实施链上风控，行业则能有效避免跨链攻击。
本文列举了跨链安全的五个层级，并探讨了Chainlink CCIP如何为行业制定新的跨链通信标准，为DeFi和传统金融打造安全可扩展的跨链经济。

第一级：中心化

最基础的跨链解决方案就是单一实体使用单一服务器，并且使用单一私钥来保障服务器安全。这个架构会导致各种关键的攻击向量和单点失效，并产生严重威胁用户资金安全的利益冲突。中心化的跨链解决方案最终会削弱Web3相较于Web2解决方案的优势。

中心化的网络极易遭受攻击

第二级：流于表面的去中心化

在这一层级，去中心化只停留在表面功夫。协议表面看上去是去中心化的，但实际上却没有实现有效的去中心化。通常是单一实体负责控制两个或以上的服务器，并制造一种去中心化的假象。这种跨链机制尤其危险，因为它制造了一种安全的假象，可能会诱导用户在未充分知情的情况下使用。

Multichain就是一个典型案例。“Multichain团队之前向用户保证协议是去中心化的，但后来却揭露协议的多方计算服务器以及私钥全都由其CEO一人掌控，为最终失去资产并停止运营埋下了伏笔。协议没有了服务器和私钥，只能关闭，团队成员也不知所踪。”

最近的一个案例就是Mixin Network。该协议的云服务遭受攻击，导致大约2亿美元资金被盗。这次事件进一步凸显了存在中心化风险和单点失效风险的跨链基础设施的脆弱性。

第三级：一个单体式网络

在这一层级，一个去中心化的网络由多个独立的节点组成，每个节点都有单独的私钥。相比第二层，第三层在安全性方面做了明显改进。然而，单独存在的单体式网络是无法扩展的，也无法支持大规模的跨链经济。这就好比一条单独存在的区块链是无法支持整个Web3经济的。如果用一个网络来保障所有跨链桥的安全，那么一旦某条跨链桥流量激增，就会影响所有其他跨链桥的可靠性。

此外，还需要关注去中心化网络对某一基础设施提供商（如云服务）的依赖性问题。据思科旗下的网络情报公司ThousandEyes研究称，仅在2022年就出现了15,000次云服务宕机事件。

相比异构式网络，单体式网络的可扩展性有限

第四级：多个去中心化网络

这一层级利用多个独立的去中心化网络（DON）来构建跨链解决方案。此举可以消除单点失效风险，让网络可以承载更高的交易量，并能应对流量激增情况。DON执行任何功能都需要网络中的多数参与者达成共识。将跨链桥做成独立的网络，用户就可以对每条跨链桥的安全参数进行定制化和扩展。Chainlink服务在过去三年多时间里一直处于第四级，成功保障了超过8.5万亿美元的交易额。

然而，由于跨链转账非常复杂而且跨链资金数额庞大，我们需要采取额外的风控技术和机制来创建通用的跨链标准，以支持数万亿美元的价值流转。

Chainlink网络由多个去中心化的预言机网络（DON）组成

第五级：深度防御

第五级利用了多个去中心化网络来保障每一笔跨链交易的安全，因此可以实现前所未有的去中心化安全水平。除此之外，这一层级还采用了额外的风控机制来甄别风险，并主动采取措施预防风险，比如紧急关闭跨链通道或设置跨链通证数量上限（rate limits）。

在这一层级，用户获得的不是一个单独的网络，而是由独立的节点构成、并共同协作来保障跨链桥的安全的多个网络，来专门为其传输跨链数据或消息。

许多跨链桥解决方案都将单一节点或多个节点交给一人全权保管（比如Multichain），而第五级跨链安全则采用多个独立的节点，每个节点都有独立的密钥持有者，甚至会将密钥持有者划分成两组不同的节点，即：负责交易的DON节点（transactional DON nodes）和风控网络节点（Risk Management Network nodes）。CCIP中的独立网络还有一个关键特征，那就是采用了两个独立的代码库创建了两个完全独立的实现类。因此CCIP实现了跨链互操作领域最高水平的客户端多元化/去中心化。

而有了CCIP，就可以实现以下结果：

• 分别由独立的密钥持有者运行的多个独立的节点。

• 三个去中心化网络同时执行并验证每笔跨链桥交易。

• 将责任分到两组不同的节点运营商，即：负责交易的DON（transactional DONs）和风控网络（Risk Management Network），且两组中的节点没有重合。

• 基于两个独立的代码库创建两个实现类，提升去中心化水平。代码使用两种不同的语言编写，以实现跨链领域前所未有的软件客户端多元化水平。

• 实现前所未有的风控水平，并针对跨链领域新出现的风险或攻击快速做出调整。

Chainlink跨链互操作性协议（CCIP）由一个Committing DON、风控网络（Risk Management Network）以及Execution DON组成。CCIP是唯一可以在第五级实现跨链通证转移和消息传输的跨链解决方案。接下来，我们来简要介绍一下CCIP如何通过打造多个去中心化网络为跨链安全性和可靠性制定新的行业标准。

第一步：Committing DON

Committing DON是负责对消息做出承诺的去中心化预言机网络（DON），奠定了安全基础。它会基于源链上的CCIP消息创建一个默克尔树，并将默克尔根发布到目标链上，以此对消息做出承诺。

针对CCIP消息在源链上创建一个默克尔树，并将默克尔根发布到目标链上，以此来确认消息

第二步：风控网络

接下来，使用另一种编程语言，在另一个技术栈上，创建一个独立的风控网络。这个风控网络通过执行同样的任务来验证Committing DON。如果默克尔根匹配，那么链上的默克尔根就会得到“授权”（blessed）。这两个网络相互独立，每个网络都有各自的节点，节点互不重合。消息必须获得这两个节点网络的承诺和授权，才能被执行。风控网络还可以根据具体的风险设置其他条件，因此可以快速应对任何新出现的攻击和威胁。

CCIP还包含其他深度防御机制，比如当风控网络侦测到可疑活动时，可以触发紧急关停；可以对某一时间段内传输的通证数量设置上限；还可以部署时间锁合约，当达到一定数量的CCIP节点运营商时，就可以直接否决升级提案或直接通过链上配置升级。

风控网络验证CCIP消息

第三步：Executing DON

Executing DON负责将消息提交到目标链以便执行。同时，它还会提交一份加密证明，证明消息包含在“被授权”的默克尔根中。CCIP会对照被授权的默克尔根来验证这些证明，如果验证通过，消息就会在目标链上被执行。

Chainlink CCIP：为Web3和全球金融业打造第五级互操作性标准

第五级跨链安全性是建立稳健链上经济不可或缺的一环

“只有CCIP能达到第五级跨链安全性，在多个维度实现了去中心化。我们相信未来金融机构会需要CCIP来安全地管理数千万亿美元的交易，最终整个资本市场都将转移到链上。” ——Chainlink联合创始人Sergey Nazarov

Chainlink CCIP可以为Web3协议和金融机构带来已实现第五级安全性的跨链互操作性。因此，Swift、DTCC和澳新银行等顶尖金融机构，以及Aave和Synthetix等顶尖DeFi协议，都已经接入CCIP来探索跨链应用场景。CCIP实现了前所未有的安全性和去中心化水平，势必将成为连接公链和私有链的通用互操作性标准。

如果想要了解更多关于CCIP底层架构和代码的信息，并着手开发安全可靠的跨链用例，请查看CCIP开发者文档： https://docs.chain.link/ccip/