跳到主要内容

互操作性的共识模型权衡:跨链桥安全中的 PoW、PoS、DPoS 和 BFT

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

仅在 2025 年上半年,就有超过 23 亿美元从跨链桥中被盗 —— 这一数字已经超过了 2024 年全年的总额。虽然行业内的讨论大多集中在智能合约审计和多签密钥管理上,但一个更为隐蔽且同样关键的漏洞却经常被忽视:即不同区块链达成共识的方式与跨链桥对它们的共识假设之间的不匹配。

每个跨链桥都对最终性(finality)做了隐含的假设。当这些假设与源链或目标链的实际共识模型发生冲突时,攻击者就会找到可乘之机。理解 PoW 、 PoS 、 DPoS 和 BFT 共识机制的区别 —— 以及这些差异如何传导至跨链桥的设计选择和消息传递协议的选择 —— 是当今 Web3 基础设施中最重要的课题之一。

最终性对跨链桥的实际意义

在比较共识类型之前,有必要明确跨链桥对区块链共识层的核心需求: 最终性(finality) —— 即保证已提交的交易不可逆转。

最终性有两种形式:

  • 概率性最终性 :随着更多区块在其之上添加,交易变得越来越安全,但不可逆转性在数学上永远不是绝对的。比特币就是典型案例。
  • 确定性(即时)最终性 :一旦区块被绝大多数验证者提交,它就不能被撤销。大多数基于 BFT 的链都提供这种保证。

对于跨链桥来说,这种区别是巨大的。一个认为比特币充值在 6 个区块后确认的跨链桥是在进行概率博弈。而一个在单个区块提交后就确认 Cosmos IBC 转移的跨链桥,则依赖于 CometBFT 共识引擎中内置的确定性保证。

当相连链的最终性模型不同时,跨链桥必须要么等待足够长的时间以确保统计安全,要么接受更高的可逆性风险。处理不当已使该行业蒙受了数十亿美元的损失。

PoW :深度安全,慢速最终性,对跨链桥不友好

比特币等工作量证明(PoW)链在基础层提供了极高的抗女巫攻击能力和经受过考验的安全性。在目前的算力下,对比特币进行 51% 攻击的成本极高 —— 据估计每小时达数十亿美元 —— 这使得深层区块重组(reorg)在经济上变得不可行。

但这种安全性对于跨链桥设计者来说是有代价的:

  • 仅具概率最终性 :比特币区块不存在硬性截止点来判定其“最终确定”。 6 次确认(约 60 分钟)是惯例,而非协议规定。
  • 出块速度慢 :比特币平均 10 分钟的出块时间意味着跨链桥要么等待一小时,要么承担回滚风险。
  • 重组窗口 :任何在深度确认之前处理充值的跨链桥,都容易受到通过区块链重组发起的双花攻击。

真正的危险在于,当一条算力较弱的 PoW 链(非比特币,而是较小的 PoW 链)连接到高价值的 DeFi 生态系统时。以太坊经典(Ethereum Classic)在 2020 年曾遭受 51% 攻击,任何过快将 ETC 充值视为最终确认的跨链桥在当时都是可被利用的。

最匹配的消息协议 :由于 PoW 链缺乏支持高效证明验证的轻客户端,连接它们的跨链桥通常依赖于外部验证者或预言机委员会,而不是密码学上的最终性证明。像 Axelar (DPoS 安全验证者网络)和 LayerZero 的 Oracle+Relayer 模型比 IBC 风格的轻客户端桥更适合这里,因为后者需要源链具备即时最终性才能高效运行。

PoS :改进的最终性,但检查点复杂性

以太坊向权益证明(PoS)的转型为跨链桥设计带来了显著改进。以太坊的共识层(原以太坊 2.0)结合了 LMD-GHOST 分叉选择和 Casper FFG 最终性,每两个 epoch (约 12.8 分钟)提供一次 经济最终性

对跨链桥而言,这是对比特币的重大升级:

  • 最终确定的检查点由绝大多数质押的 ETH 进行密码学提交。
  • 重组已确定的检查点需要罚没(slashing)超过三分之一的质押 ETH —— 目前价值数百亿美元。
  • 轻客户端可以验证以太坊同步委员会(Sync Committee)的签名,从而实现更信任最小化的跨链桥设计。

然而, PoS 也带来了自身的复杂性:

  • 验证者集轮换 :跨链桥轻客户端必须追踪验证者集的变化。过时的轻客户端可能会接受由已不存在的验证者集签署的证明。
  • 罚没并非即时惩罚 :经济处罚可以威慑攻击,但不能在最终确定前的短暂窗口内完全阻止攻击。
  • 最终性检查点产生延迟 :等待 Casper FFG 最终性的跨链桥会在跨链交易时间中增加 12-13 分钟 —— 对于大额转账是可以接受的,但对于 DeFi 用户来说则令人沮丧。

最匹配的消息协议 :以太坊的 PoS 模型与基于 ZK-proof 的跨链桥设计日益兼容。新兴协议如 Succinct 的 Telepathy 使用 ZK-SNARKs 在链上验证以太坊同步委员会的签名,从而实现延迟合理的信任最小化跨链桥。 LayerZero v2 对 ZK-proof DVN (去中心化验证网络)的支持也与暴露可验证密码学状态证明的 PoS 链高度契合。

DPoS:快速共识与验证者集风险

委托权益证明系统(Delegated Proof-of-Stake)—— 被 EOS、BNB Chain 以及至关重要的 Axelar 验证者网络 自身所采用 —— 通过引入较小的、选举产生的验证者集来实现更快的共识。

跨链桥的 DPoS 优势:

  • 快速的出块时间和近乎即时的最终性:BNB Chain 拥有 21 到 101 个活跃验证者,出块时间约为 3 秒,实际最终性约为 15 秒。
  • 可预测的验证者集:由于验证者集在较慢的选举周期中变化,跨链桥可以维护更轻量级的证明。
  • 更低的计算开销:验证者较少意味着需要验证的签名也较少。

但 DPoS 压缩了攻击面:

  • 串谋风险:理论上,绝大多数当选代表 —— 在某些链上可能只需 21 个中的 11 个 —— 就可以串谋伪造共识。EOS 上曾记录过针对代表选举的贿选攻击。
  • 卡特尔动态:在实践中,少数实体往往控制着多个代表席位,降低了去中心化程度。
  • 密钥泄露级联:如果跨链桥依赖于 DPoS 验证者集,且多个验证者同时被攻破,跨链桥的安全将随底层链一同崩塌。

Axelar Network 是一个有趣的案例:它本身就是一个 DPoS 链(基于带有 CometBFT 共识的 Cosmos SDK 构建,拥有超过 75 个活跃验证者),作为跨链消息传递的枢纽。Axelar 转发的每条消息的安全性最终都由 AXL 质押的经济安全性提供支持 —— 这种刻意的设计使跨链桥安全模型变得明确且可量化。

最匹配的消息协议:DPoS 链自然适合像 Axelar 这样的星型(hub-and-spoke)互操作性架构,其中专门构建的 DPoS 共识层负责保护跨链消息。如果 DPoS 链提供了兼容的轻客户端接口,点对点协议(如 IBC)也可以工作,尽管较小的验证者集意味着加密安全阈值低于去中心化程度更高的 PoS 网络。

BFT:即时最终性,IBC 的原生环境

拜占庭容错(Byzantine Fault Tolerant)共识 —— 特别是广泛用于 Cosmos 生态系统的 CometBFT(原 Tendermint) —— 是目前生产环境中最适合跨链桥的共识模型。

BFT 保证:

  • 确定性的、即时的最终性:一旦绝大多数(2/3+)验证者签署,区块就会被不可逆地提交。没有概率性的等待期。
  • 设计上无分叉:在正常的网络条件下,BFT 链不会分叉。单个确认的区块即为规范链。
  • 不良行为检测:IBC 的轻客户端协议包含不良行为提交机制 —— 如果验证者集出现双重签名(签署两个冲突的区块),可以向链上提交证明,冻结轻客户端以防止进一步损失。

这些属性正是跨链通信(IBC)协议的设计核心。IBC 是信任最小化的,因为:

  1. 它依赖于对对手链区块头的轻客户端验证,而非外部验证者。
  2. 确定性的 BFT 最终性意味着轻客户端永远不需要防范重组(reorgs)。
  3. 没有托管人,没有多签 —— 只有状态包含的加密证明。

IBC v2 于 2025 年 3 月推出,将此模型扩展到以太坊 —— 使用零知识证明(ZK-proofs)使以太坊的 PoS 最终性检查点在 IBC 轻客户端上下文中可验证。这是一个里程碑式的进展:BFT 的原生信任模型正被适配用于包装 PoS 链,极大地扩展了 IBC 的安全范围。

权衡:BFT 共识的可扩展性较差。随着验证者集超过几百个节点,收集签名的通信开销呈平方级增长。这就是为什么 BFT 链倾向于更小、更精选的验证者集 —— 这重新引入了 DPoS 面临的中心化担忧。

最匹配的消息协议:IBC 是 BFT 链的规范选择,也是信任最小化跨链通信的金标准。Hyperlane 在这里也非常适用:其跨链安全模块(ISMs)可以配置为直接验证 BFT 链状态,其无需许可的中继器模型意味着任何人都可以为 BFT 到 BFT 的消息传递运行基础设施。

将消息协议与共识类型匹配

以下是根据连接链的共识类型选择消息协议的实用框架:

LayerZero v2 几乎可以与任何链配合使用,但需要仔细配置 DVN。其模块化安全堆栈 —— 允许应用开发者选择哪些去中心化验证者网络(DVN)来验证其消息 —— 使其与链无关,但代价是将安全决策推给了开发者。最适合没有单一最终性模型主导的异构环境。

Axelar 专为接受外部经济安全性的链而构建。其 DPoS 验证者网络显式处理共识不匹配:Axelar 验证者在转发消息之前会观察源链的最终性(无论源链如何定义)。这使其具有通用性,但引入了 Axelar 自身的验证者集作为信任假设。最适合将 PoW 或 PoS 链连接到更广泛的生态系统。

IBC 是信任最小化程度最高的选项,但要求源链具有快速、确定性的最终性和兼容的轻客户端实现。随着 IBC v2 扩展到对以太坊的支持,其覆盖范围正在扩大。最适合 BFT 到 BFT 的连接,以及越来越多通过 ZK 桥实现的 BFT 到 PoS 连接。

Hyperlane 通过可配置的 ISM 提供最大的开发者灵活性。团队可以根据源链的共识类型选择多签 ISM(基于委员会,类似于 Axelar 的模型)或 ZK 轻客户端 ISM(类似于 IBC)。最适合构建需要定义自身安全参数的主权 Rollup 或应用链的团队。

Chainlink CCIP 依赖 Chainlink 的去中心化预言机网络(DON)进行跨链消息验证,使其相对不受共识限制。最适合已经在使用 Chainlink 价格喂价的企业级应用和 DeFi 协议,在这些场景中,集成简单性和品牌信任至关重要。

终局性不匹配的隐藏代价

定义了 2022-2024 时代的跨链桥黑客事件——Ronin(6.25 亿美元)、Wormhole(3.2 亿美元)、Nomad(1.9 亿美元)——都有一个共同点:它们都对所连接链上的交易终局性(Finality)做出了危险的假设。

Ronin 的验证者在链上终局性尚未充分达成之前就确认了充值。Nomad 的欺诈证明窗口未能考虑到所连接链的重组风险(Reorg risk)。这些不仅仅是智能合约漏洞,更是终局性模型之间的架构不匹配。

随着行业正在消化 2025 年上半年超过 23 亿美元的损失,教训显而易见:跨链桥的安全不仅仅在于有多少审计师审查了合约。它取决于跨链桥的终局性假设是否与每个连接链的实际保证相匹配——包括网络中最薄弱的一环。

展望未来:ZK 证明作为通用适配器

跨链桥安全领域最令人兴奋的发展是基于 ZK 证明(ZK-proof)的轻客户端的出现,它作为一个与共识无关的终局性验证层。Succinct Labs、Polyhedra 和 IBC v2 计划等项目正在构建 ZK 电路,这些电路可以验证 PoS 检查点签名、BFT 验证者集,甚至 PoW 区块头——所有这些都在链上智能合约内完成。

如果基于 ZK 的验证在 2025 年和 2026 年如预期般成熟,它可能会解决本文探讨的核心矛盾:跨链桥将不再需要在密码学证明的安全性(需要确定性终局性)与外部验证者的灵活性(可处理任何终局性模型但增加了信任假设)之间做出选择。

在那个未来到来之前,实际的指导建议很明确:了解你所用链的共识模型,选择与其终局性保证相匹配的消息传递协议,永远不要在仅存在概率性终局性的地方构建假设确定性终局性的跨链桥。

BlockEden.xyz 为 27 个以上的区块链网络提供企业级节点基础设施和 API 服务,包括 Sui、Aptos、Ethereum 和 Cosmos 链。无论你是在构建跨链应用,还是需要为跨链桥基础设施提供可靠的 RPC 访问,请 探索我们的 API 市场,在专为生产可靠性设计的基石上进行构建。

Share on Twitter