ETH:安全跨链不用愁？一文了解跨链代币标准xERC20

7 月 25 日，Layer 2 互操作性协议Connext宣布推出跨链代币标准xERC20（ERC7281），旨在提高代币跨链的安全性。该协议由Connext创世贡献者Arjun提出。而 Arjun 的灵感则来自Multichain漏洞的影响扩散。

自7月7日以来，从Multichain流出的资金总额高达2.65亿美元，分布在Ethereum、BNBChain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam链。其中6582万美元已经被Circle和Tether冻结，1,296,990.99 ICE（约162万美元）被代币发行方销毁。

对此，Arjun 认为，桥接代币面临着来自系统性的风险，其背后潜在的问题是——代币主权。

Lido：stETH流动性池未受Vyper漏洞影响，所有LP均安全:金色财经报道，流动性质押协议Lido Finance在官推确认其stETH流动性池没有受到Vyper漏洞影响，所有流动性提供者（LP）均安全。目前流动性池状态对Lido Finance协议也不存在问题，任何用户都可以使用协议内的Lido提款机制随时提款。此外，Lido还宣布Lido DAO注册功能已经上线，被邀请的用户可以进行注册并参与投票，以解锁链上奖励。[2023/8/1 16:12:16]

目前，代币发行者通常选择两种桥接方案：

1. "典型"的桥接（如rollup bridges），并与Connext或Hop等流动性网络合作。 这比较安全，但需要流动性，会带来滑点和高流动性成本。

2. 使用第三方mint/burn系统，如Multichain或 L0 OFT。 这解决了流动性问题，但却将发行者永远锁定在底层桥接器的安全性上，它还会破坏可替代性：例如，通过 Arbitrum的桥接器，就会产生“不同”的代币。

ETC Labs制定网络安全计划以应对网络攻击:ETC Labs制定网络安全计划以应对近期ETC网络遭遇攻击一事。该安全计划包括立即预防攻击措施和长期修复措施。其中，立即预防攻击措施具体包括：1.与矿工和矿池的合作进行防御性挖矿；2.增强网络监控功能；3.与列入白名单地址的交易所密切协调并设置安全的确认时间；4.实施由ETCCore开发的“Permapoint”终局仲裁系统，以1在保持节点间共识的同时，积极抑制链重组。长期修复措施主要为提案，具体为：1.通过检查点或PirlGuard等功能来增加51％攻击强度，规范完成后，可在大约3个月内通过硬分叉实现这些目标；2.更改工作量证明挖矿算法，正在考虑的两个替代方案是Keccak-256或RandomX，只要测试成功完成，就可以在大约6个月内通过硬分叉实现这些目标；3.通过MINERVOTE协助实施此类更改；4.在达成社区共识的条件下，引入资金管理系统。这些提案的时间线为，8月达成粗略共识，9月在CoreGeth和HyperledgerBesu客户端中实施，10月在测试网中实施抵抗攻击措施（即检查点），11月主网激活检查点，12月激活用于新挖矿算法的公共测试网，明年1月主网激活新的挖矿算法。[2020/8/20]

动态 | McAfee安全实验室发布对比特币勒索软件Sodinokibi的分析:McAfee Advanced Threat Research（ATR）官方网站，近日发布对Sodinokibi及其与GandGrab之间联系的系列分析文章最后部分。在本系列最后一篇文章，安全研究人员描述了传播Sodinokibi勒索软件的不同会员组织使用的操作、技术和工具。比特币勒索软件Sodinokibi是2018年和2019年中期影响最严重的勒索软件之一。[2019/10/23]

那为什么不让多个桥接器使用同一个代币？Arjun解释，这对安全性和可替代性都不利，如果两座网桥在 L1 上各持有 100 USDT，就不能只通过一座网桥进行 200 USDT 的 L2 向 L1 转账。 如果两座桥都被黑客攻击，这 200 USDT 都会丢失。

xERC20从第一性原理重新思考桥接，当桥接器被黑客攻击时，代币发行者会受到惩罚。 这意味着代币发行者应该决定：哪些代币是 "典型" 、 支持的桥接、每个桥接的风险承受能力，这些思考统称为“代币主权”。

动态 | BM谈EOS假充值 对交易所提出安全措施建议:昨日晚间，BM携慢雾EOS假充值分析文章再度现身电报群，并表示，这些实施假充值的账户应该被加入黑名单，如果他能主宰某条链的话，他将会把所有企图损害他人利益的账户加入黑名单。有人质疑黑名单制度治标不治本，BM回答：创建每个账户都需要成本；BM补充：EOS有BFT安全黑名单监听，名字叫s changing Key。

针对交易所，他提出以下安全措施：

1．任何第一次充值的，账户需要冻结3天；

2．默认每个EOS账户都会永久对应一个交易所账户；

3．任何一个在过去一周修改过所有者密钥的账户，应该重点专注；

4．更加普遍的打分系统，来划定可能存在攻击的等级。

5．数据驱动，调取其链上操作信息，研究其行为模式。[2019/3/14]

目前已经有：MakerDAO的DAITeleport机制、fraxfinance的FraxFerry、circle的 CCTP、tBTC_project、AngleProtocol考虑到代币主权的问题了，只不过，以上这些例子都是高度定制的。

动态 | 智能合同审计公司Quantstamp推出新的区块链安全协议:据The Innovation Enterprise 9月3日消息，Quantstamp已经发布了它的betanet协议，现在可以通过Ethereum net进行实时访问。Quantstamp将为Ethereum用户提供可公开验证的智能合同审计服务。以前，用户必须相信智能合约开发人员事先已采取必要的安全预防措施，并且无法自行验证。Quantstamp betanet协议现在允许用户使用QSP令牌来验证其代码可靠性，从而为他们提供可验证的合同记录，任何人都可以公开访问该记录。[2018/9/3]

而xERC20是对ERC-20接口的简单、最小化扩展：

通过代币发行方允许列表中的桥接器调用代币的burn/mint 接口。

灵活设置铸币限额。

“Lockbox”：一种简单的封装合约，可整合主链代币的流动性，并为现有的 ERC 20 提供直接的采用途径。

根据这项建议，代币的所有权将从桥接器（规范或第三方）转移到代币发行者自己手中。

代币发行者决定为特定域（可以是 L1 或 L2）支持哪种桥接器，并随着时间的推移对不同选项的安全性越来越有信心，而不断调整自己的偏好。如果某个桥接器被黑客攻击或存在漏洞，发行者的风险将被限制在该桥接器的费率上限内，发行者可以无缝地将桥接器除名，而无需与用户一起经历痛苦且耗时的迁移过程。

桥接器现在可以在安全性方面展开竞争，为特定代币获得更好的发行人定义的费率限制，激励它们采用最佳的安全性和信任最小化实践；

桥梁不再能垄断流动性，这种策略不对称地有利于拥有大量资金用于激励的项目；

跨域代币转移不再产生滑点，从而为用户带来更好的可预测性，也为开发者提供了更便捷的跨域可组合性途径；

与添加许多新域相关的流动性和安全性可扩展性问题得到缓解。新的加密货币不再需要为每个受支持的资产启动流动性——这一点尤为重要，因为我们正在快速迈向一个拥有成千上万互联域名的世界。

通过 Lockbox 封装器兼容所有现有代币；

广泛支持 burn/mint 接口的现有第三方桥接器；

常用典型桥接器。在大多数情况下，Arbitrum、Optimism、Polygon、ZkSync 和 GnosisChain，都有支持 xERC 20 的直接（无权限）途径。

在Ethereum Magicians 论坛，开发者 auryn表示其总体上支持这项建议，但也有一小部分顾虑：

对于没有治理层的代币来说，这该如何运作？比如 WETH。

这就给了那些有治理机制的代币发行者一些额外的，也许是不必要的治理权力。在某些情况下，发行者可能无法或不愿实际行使这种权力。

这也可能意味着需要一些元治理层来决定哪个账户应该对给定的代币拥有桥接治理权，因为你不能只依赖于 owner() 的存在，而且每个代币的 owner() 都是正确的。

Arjun对此回应，该提案的核心目标是解决流动性/可流通性和安全性之间的权衡问题，尤其是对于长尾资产而言，因为这些代币无法从有机交易量中获得足够的手续费收入来维持许多不同链的 LP。WETH 并不存在这个问题，因为除了 USDT 和 USDC 之外，它是最常见的桥接资产之一。

“从长远来看，我认为像 wstETH 这样的 LSD 有可能被用作跨链交互的 "传输 "层，和/或 WETH 将完全被 ETH 的标记版本所取代。”

此外，另一位开发者 gpersoon和auryn 都认为，持续跨链部署和管理代币会增加管理开销。对此Arjun提出以下解决方案：

首先，围绕控制已部署的跨链代币的治理风险已经存在。但是，这些代币目前是由造币桥所拥有，而不是由项目所拥有。这是这种方法试图解决的关键问题之一；

管理跨链代币的实现与 DAO 控制自己的跨链协议所涉及的功能基本相同。越来越多的 DAO 已经在使用多重标识和/或规范桥（canonical bridges）实现这一功能；

即使在规范桥上引入依赖性也不太理想。该提案在设计时主要考虑了rollups的情况，在这种情况下，信任规范桥进行治理的争议较小。不过，根据目前 DAO 运行的实际数据，这个问题可以通过哈希（Hashi）等多消息聚合（MMA）方法来解决，和/或使用可配置的跨链消息乐观延迟，在此延迟范围内，DAO选举产生的安全委员会可以否决欺诈消息。

据最新消息，Connext表示，今天通过Connext部署xERC20s的项目未来可完全兼容最终确定的ERC-7281规范，在链之间实现1:1的代币0滑点转移。此外，DeFi借贷协议Alchemix Finance已采用这一标准。因此，接下来，我们将有机会在实践中充分观察并测试此标准的安全性和易用性。

Odaily星球日报

媒体专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签：ETHLIDCHADAOCETH币SOLIDblockchain是什么意思DAO币

Luna热门资讯