Chainlink CCIP 的深度防御安全与风险管理网络

区块链生态系统是高度异构的。已经有数百个区块链、layer-2和layer-3网络、侧链、子网、应用链、平行链和其他环境，生态系统可能会继续增长，最终包含数千条链。

为了释放这数千条链的全部潜力和功能，它们需要与生态系统的其余部分安全地互操作，这使得由Chainlink CCIP提供的安全跨链互操作性成为当务之急。CCIP从一开始就被设计为向跨链市场提供前所未有的安全性，它借鉴了航空航天工业的软件工程原理，以最大限度地提高冗余和容错能力。

在这篇文章中，我们概述了对安全跨链互操作性的需求，以及为什么Chainlink CCIP及其首创的风险管理网络是唯一能够为这个不断增长的市场提供关键任务基础设施的解决方案。

这篇文章基于Chainlink Labs研发负责人Lorenz Breidenbach在SmartCon 2023上的演讲

跨链安全的重要性

截至2023年10月，已有\$400B+在区块链之间桥接，而\$2.6B+已因跨链桥漏洞而损失。根据这些数字，任何给定的桥接美元有大约1/150的几率因跨链桥漏洞而损失。为了让Web3行业达到其下一阶段的采用，并将密码学真相的益处带给全球数十亿用户，跨链安全性需要提升。

由于多种因素，跨链协议本质上是复杂的——它们涉及多种技术，它们针对不同的异构链，并且设计它们的软件工程师和安全研究人员必须掌握多个不同的领域，包括分布式系统、密码学和智能合约工程。

由于跨链基础设施运行在公共互联网上的公共区块链上，跨链协议构成了区块链行业中最大的攻击面之一。如果跨链基础设施容易受到漏洞利用，包括国家级行为者在内的老练的攻击者会设法攻击该协议，耗尽跨链协议与之交互的价值。

这些因素直接影响了Chainlink CCIP的设计理念，CCIP将端到端系统安全作为其首要任务。将这一点付诸实践包括通过深度防御方法和广泛的频谱保护来最大限度地减少复杂性和单点故障，以防止整类攻击。

Chainlink CCIP：五级互操作性标准

CCIP的安全模型建立在安全比活跃更重要，端到端安全至关重要的底层设计范例之上。这种方法有助于确保——尽管进行了所有的强化、多次独立审计以及与独立安全研究人员的合作——如果确实发生了漏洞利用，CCIP的深度防御安全架构可以减轻潜在的损害程度。

CCIP为Web3项目提供原生的五级跨链安全，以便可以在坚实的基础上构建安全的跨链经济。CCIP利用多个去中心化网络来保护单个跨链交易，同时结合额外的风险管理系统来识别风险并采取行动来预防风险，例如实施紧急关闭或施加速率限制。

使用Chainlink CCIP的跨链消息流。

CCIP提供几个关键的安全优势：

• 由独立密钥持有者运行的多个独立节点。
• 三个去中心化网络都在执行和验证每个跨链交易。
• 职责分离，具有不同的节点运营商集合，并且在事务DON和风险管理网络之间没有共享节点。
• 随着两个不同实现中使用两个独立的代码库，用两种不同的语言编写，从而增加了去中心化，从而在跨链世界中创建了前所未有的软件客户端多样性。
• 只有大约10,000行代码的可信计算基础——对于CCIP这样的安全关键型基础设施来说，这是一个可管理的大小。
• 前所未有的风险管理水平，可以快速适应跨链消息传递中出现的任何新风险或攻击。

如果你想了解更多关于CCIP的安全性如何为跨链互操作性设定新标准的信息，请阅读跨链安全的五个级别。

CCIP的独特安全特性

风险管理网络

风险管理网络是一个独立的网络，它持续监控和验证主CCIP网络的行为，通过独立验证跨链操作来提供额外的安全层。风险管理网络是用与CCIP主系统不同的编程语言（Rust而不是Go）构建的，并且由Chainlink Labs内部不同的开发团队开发。

风险管理网络应用了一种在20世纪80年代引入的软件工程原理，称为N版本编程（NVP），该原理已用于提高航空航天工业中安全关键基础设施的冗余和容错能力。

NVP涉及并行运行系统的多个独立实现，并比较它们的输出来确保它们匹配。如果输出匹配，则系统按预期运行。但是，如果不同实现提供的输出存在差异，则可以采取适当的措施来减轻潜在损害的程度。

在航空航天工业中，关键任务系统必须不间断地持续运行。但是，如上所述，在系统出现故障时，CCIP优先考虑安全性而不是持续运行。这种设计选择允许自动暂停CCIP，以最大限度地减少可信计算基础。

在以下部分中，我们将描述CCIP实施的三个关键的深度防御措施，这些措施为跨链互操作性提供了前所未有的安全性和广泛的保护。

速率限制

速率限制提供了在智能合约级别上限制在给定时间段内流入和流出CCIP的价值量的能力。这归功于CCIP的价值感知方法：CCIP系统中的消息明确列出了Token转移消息中包含的Token和Token数量，因此CCIP逻辑知道正在转移的价值，并且可以根据此数量采取适当的措施。

速率限制限制了每次可以通过CCIP流动的价值量。

在Token池中，可以限制在特定时间范围内可以锁定/销毁或铸造的Token数量，并且这是可以针对每个Token和源/目标区块链配置的。对于OnRamp和OffRamp，可以限制通过特定源链和目标链流动的总价值量。这些速率限制机制增加了一层额外的安全性，并有助于确保即使跨链协议有助于保护大量价值，也只能一次移动指定部分的价值，从而限制了攻击的潜在影响。

二次审批

在风险管理网络中实施并在CCIP智能合约中编纂的二次审批（或“祝福”）涉及风险管理网络在任何消息变得可执行之前进行的第二次确认。风险管理网络独立地构建其自己的对消息的密码学承诺，并将其发送到目标链上的风险管理合约以存储该批准。

这意味着风险管理网络必须明确批准任何消息才能执行。通过CCIP流动的任何跨链消息都由主系统的提交DON和风险管理网络独立批准——只有这样，跨链消息才能被执行DON执行。

二次审批确保风险管理网络明确批准任何跨链消息才能执行。

使用二次审批可以作为有效的安全保障。即使主系统遇到关键漏洞，例如密钥泄露、节点运营商共谋、软件供应链漏洞或其他智能合约bug，CCIP也可以针对所有这些问题提供广泛的频谱防御。

此外，由于风险管理网络是一个独立的系统，因此它极不可能受到与CCIP主系统相同问题的影响。这种方法是CCIP如何通过先进的风险管理技术实践深度防御和多层保护的典范。

如果你想了解更多关于风险管理网络功能的信息，请查看CCIP文档。

异常检测

风险管理网络持续监控连接到CCIP系统的所有区块链。如果它识别出任何异常活动，例如虚假消息或从Token池到敌对地址的不规则Token流动，它可以立即暂停跨链活动。

在这种情况下，风险管理网络将能够检测到异常，并向CCIP已激活的所有区块链上的所有风险管理合约发送“诅咒”交易，并立即停止跨链活动，以便安全专家有时间调查问题，并在需要时部署缓解措施。

异常检测使风险管理网络能够在检测到错误活动时停止跨链活动。

结合速率限制，异常检测形成了一个强大的多层防御框架。攻击者在异常被检测到并且系统被停止之前只有一次机会，并且由于速率限制限制了攻击者可以提取的数量，因此也可以限制该攻击的范围。

解决跨链安全问题

正如Chainlink通过在2019年将Chainlink价格摘要推向市场来解决预言机问题，从而为DeFi领域提供安全可靠的市场数据一样，Chainlink CCIP现在正在通过为各种跨链用例提供行业标准的安全性和可靠性来解决跨链安全问题。

这就是为什么领先的DeFi项目（如Aave、Synthetix等）正在使用Chainlink CCIP来创建跨链Web3应用，以及为什么Swift和十几家大型银行和金融机构演示了金融机构如何利用CCIP通过其现有的基础设施堆栈来促进跨公共和私有区块链的跨链交易。

如果你想更深入地了解风险管理网络，请浏览GitHub上的源代码。

如果你想了解更多关于CCIP底层架构和代码的信息，并开始构建高度安全可靠的跨链用例，请查看CCIP开发者文档。

• 原文链接： blog.chain.link/ccip-ris...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～