跳到主要内容

信任桥的终结:零知识证明如何重写跨链安全

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

想象一下将 6.25 亿美元现金交给九个陌生人,并寄希望于其中至少五个人永远不会勾结起来对付你。这正是 Ronin 桥(Ronin Bridge)的用户在 2022 年 3 月所做的事情——而拉撒路小组(Lazarus Group)在不到六个小时的时间里就证明了这是一个极其糟糕的主意。Ronin 遭受的攻击、Wormhole 损失 3.2 亿美元的漏洞利用,以及 Nomad 混乱的 1.9 亿美元“暴民式”资金抽干,都有一个共同的缺陷:它们都依赖于人类的诚实,而非数学。

零知识证明(Zero-knowledge proofs)正在改变跨链基础设施的基本信任模型。与其问“谁为这笔交易担保?”,ZK 桥会问“你能证明这笔交易是链 A 历史中有效的一部分吗?”——这是一个只有正确的密码学才能回答的问题。经过多年的理论研究,ZK 桥在 2024-2025 年达到了生产规模,保障了数十亿美元的资金安全,且证明成本在短短一年内下降了 45 倍。

43 亿美元的教训:重新思考跨链桥安全

跨链桥已成为 Web3 中被攻击最严重的表面。根据 DeFi Llama 的数据,在 2021 年 6 月至 2024 年 9 月期间,49 起跨链桥事件导致约 43 亿美元被盗,占该时期 Web3 所有被黑资产价值的约 40%。

攻击模式惊人地一致:

  • Ronin 桥(2022 年 3 月):在攻击者控制了 9 个验证者密钥中的 5 个后,损失了 6.25 亿美元。其中 4 个密钥由 Sky Mavis 控制,1 个被临时授权,导致有效安全阈值降至仅 1/5。
  • Wormhole(2022 年 2 月):通过智能合约漏洞损失了 3.2 亿美元。该漏洞伪造了多签签名,从而在 Solana 上铸造了 ETH,而实际并没有任何存款。
  • Nomad 桥(2022 年 8 月):由于“可信根”初始化漏洞,允许任何人重放原始攻击者的消息负载,约 1.9 亿美元在四小时内被抽干。数百个投机账户加入了这场疯狂的掠夺。
  • Orbit 桥(2024 年 1 月):在 10 个多签密钥中的 7 个被破解后,损失了 8170 万美元,这是 2024 年第一季度最大的黑客攻击案。

这些并非极端个案。它们是建立在社会信任基础上的跨链安全所产生的必然结果:你的安全性仅取决于验证者集中最不道德或安全性最低的参与者。

传统跨链桥的工作原理(以及它们为何失败)

理解 ZK 证明的重要性,需要先理解它们所取代的技术。

多签 / 验证者桥(Multisig / Validator Bridges) 的运行方式类似于公证系统。当你在以太坊上存入 1,000 ETH 时,一个验证者委员会观察到这笔存款,并在目标链上共同证明“是的,这确实发生了”。安全性完全取决于验证者的诚实度和密钥安全性。Wormhole 使用了 19 个“守护者”节点;Ronin 使用了 9 个。每一个由人类控制的密钥都是被攻击的目标。社会工程、钓鱼攻击、内部威胁和基础设施漏洞都是可行的攻击路径——历史证明它们经常被利用。

乐观桥(Optimistic Bridges) 借鉴了以太坊 Rollup 的方案:假设所有交易都是有效的,并给观察者 7 天的时间,如果他们发现欺诈行为,则提交欺诈证明。这消除了“验证者被收买”的攻击,但引入了 7 天的提款延迟,这严重破坏了跨链的可组合性。你无法在一个结算需要一周时间的系统上构建实时的 DeFi 策略。而且,其安全假设——即任何时候都至少有一个诚实、警觉且受经济激励的观察者在线——本身也是一种社会信任假设。

ZK 桥(ZK Bridges) 用密码学证明取代了这两种信任模型。证明者生成一个简洁的数学证明,证明在链 A 的共识规则下发生了特定事件。链 B 上的轻量级验证者合约负责检查该证明。没有验证者可以被收买。没有等待期。不需要社会信任——只需要密码学的正确性。

ZK 证明验证跨链状态的三种方式

ZK 桥领域已汇聚成三种独特的技术方案,每种方案都适用于不同的用例:

1. 轻客户端证明(Light Client Proofs)

轻客户端通过检查验证者签名,来验证区块头是否被链上足够比例的验证者集接受。挑战在于:Cosmos 链使用 Ed25519 签名,而 EVM 原生不支持该曲线。Electron Labs 通过构建在 EVM 兼容电路中证明 Ed25519 有效性的 ZK-SNARK 电路解决了这一问题,实现了交易成本低于 1 美元的 Cosmos 到以太坊的跨链。

Succinct Labs 的 SP1 zkVM 将这一方法推向了逻辑极致:开发者不再为每种签名方案手动编写电路,而是用 Rust 编写桥接逻辑,SP1 会将其编译为 ZK 电路。这使得 SP1 能够在一个可验证证明中证明以太坊完整的信标链(Beacon Chain)最终确认性——包括 BLS 签名聚合和验证者轮换。

2. ZK 状态证明(ZK State Proofs)

状态证明不是证明区块通过共识达成最终性,而是验证关于链上数据的特定事实:“在链 A 的 X 区块,地址 Y 的余额为 Z”。Lagrange Labs 在这方面走得最远,他们构建了一个 ZK 协处理器,支持对历史链上数据进行 SQL 风格的查询,并由 ZK 证明支持查询结果。这使得跨链应用能够对复杂的历史状态进行推理——例如预言机系统、跨链治理以及依赖于多链持仓追踪的收益策略。

3. ZK 共识证明

最全面的方法:在 ZK 电路中验证链的整个共识最终性机制。Union Protocol 的 Galois 证明器为 BFT/CometBFT 共识实现了这一点。这些证明虽然计算密集,但提供了最强的安全保证——你不必信任源链状态的任何中间表示,只需信任链自身的最终性规则。

让这一切成真的项目

Succinct Labs:zkVM 路径

Succinct 的 SP1 是 2024-2025 年生产部署最广泛的 ZK 桥基础设施。关键数据如下:

  • 5500 万美元 A 轮融资,由 Paradigm 领投(2024 年 3 月)
  • 超过 40 亿美元的 TVL 在各部署中获得安全保障
  • 生成了 超过 500 万个 ZK 证明
  • 通过 IBC Eureka 统一了 120 条 Cosmos 链 与以太坊

证明性能的提升展示了这项技术的发展方向:

  • 2025 年 5 月:93% 的以太坊区块在 200 个 GPU 上于 12 秒内完成证明(硬件成本约为 30-40 万美元)
  • 2025 年 11 月:99.7% 的区块在仅 16 个 NVIDIA RTX 5090 GPU 上于 12 秒内完成证明(约 10 万美元)

Gnosis OmniBridge 的集成尤为重要:超过 4000 万美元的 TVL 和超过 15 亿美元的稳定币流现在依赖于 SP1 的 ZK 共识证明,而非多签委员会。

Polyhedra Network:学术基础

zkBridge 起源于加州大学伯克利分校的 RDI 实验室,并由 Polyhedra Network 实现商业化。其突破在于将 EVM 验证成本从约 8000 万 Gas(验证每个验证者签名的原始方法)降低到 23 万 Gas 以下——成本降低了 350 倍,使得链上验证变得经济可行。

Polyhedra 已生成超过 4000 万个 ZK 证明,并连接了包括以太坊、BNB Chain 和所有主要 L2 在内的 25 多条区块链,已成为重要的跨链代币基础设施骨干。总计 7500 万美元的融资(包括由 Polychain Capital 领投、估值 10 亿美元的 2000 万美元融资)反映了机构对 ZK 桥方案的信心。

Lagrange Labs:为 ZK 证明提供再质押安全性

Lagrange 的方法在架构上与众不同:它使用 EigenLayer 再质押的 ETH 作为其 ZK 证明器网络的经济安全保障。其结果是,证明基础设施由以太坊自身的安全预算背书。

来自 EigenLayer 主网启动的数据令人瞩目:在前两周内有 超过 40 亿美元的再质押 ETH,有 85 个以上的顶级运营商运行 Lagrange 的证明软件。凭借来自 Founders Fund (Peter Thiel)、1kx 和 Coinbase 的 3000 多万美元资金,Lagrange 押注 ZK 协处理(ZK coprocessing)将成为任何严肃跨链应用的核心基础设施。

Union Protocol:IBC 走向通用化

Union 在 2024 年 12 月的 A 轮融资中筹集了 1400 万美元,以追求一个宏伟目标:将 IBC(为 Cosmos 开发的经过战斗测试的互操作协议)引入每条区块链。他们改进的 CometBLS 共识引擎能够实现 Cosmos 链更快的 ZK 证明,而 Galois 则负责处理目标侧的共识验证。

目前的集成包括 Scroll、Arbitrum、Berachain、Movement Labs、Stargaze 和 Polygon 的 AggLayer。其愿景是:IBC 成为“区块链的 TCP/IP”,而 ZK 证明作为身份验证层。

IBC Eureka:技术落地的证明

2025 年 4 月,Interchain Labs 推出了 IBC Eureka,使用 ZK 证明作为底层信任机制,连接了 Cosmos、以太坊和比特币生态系统——合计市值超过 2600 亿美元。

这项技术成就值得深入剖析。Cosmos 链使用 Ed25519 验证者签名的 Tendermint BFT 达成最终性。以太坊的 EVM 无法原生验证 Ed25519。解决方案是:Succinct 的 SP1 运行一个完整的 Tendermint 轻客户端,生成 Cosmos 共识的 ZK 证明,这些证明在以太坊上的验证成本约为 20 万 Gas——比原始方法便宜 25 倍。

结果是:从以太坊进行的跨链转账成本 低于 1 美元(包括 Gas 和中继费用),在几秒钟内完成且无需信任中间机构。早期采用者包括 dYdX、MANTRA、Lombard(BTC 流动性质押)和 Babylon(比特币质押)。截至 2025 年底,仅 Succinct 的基础设施就在运行 120 条 Cosmos 链到以太坊的共识证明。

这就是生产环境中大规模应用的 ZK 桥方案。

交易模型问题:UTXO vs. Account vs. Object

跨链 ZK 证明中一个被低估的挑战是区块链在如何表示状态上并不一致。这种碎片化显著增加了 ZK 电路开发的复杂性。

UTXO 模型(Bitcoin, Cardano, Litecoin):状态是未花费的交易输出。没有“账户余额”的概念——只有等待被花费的代币。在 ZK 电路中证明 UTXO 集合成员身份需要证明比特币 UTXO 集合中的 Merkle 包含(这是一种 UTXO 承诺方案,不同于以太坊的状态树)。大多数 ZK 桥基础设施是为账户模型链构建的,需要为 UTXO 链进行定制工程开发。

账户模型(Ethereum, Solana, Aptos):状态是地址到账户状态的键值映射。以太坊的 Merkle-Patricia 树结构可以清晰地映射到 ZK 状态证明构建中——zkBridge 和 SP1 生态系统针对此模型进行了优化。

对象模型(Sui):资产是具有全局 ID 的一等公民对象,支持并行执行。来自 Sui 的跨链证明需要适配以对象为中心的状态表示的电路——证明对象所有权而非账户余额。Sui 的 2026 年路线图包括一个使用混合验证机制的原生以太坊桥。

ZK 证明为弥合这种碎片化提供了最可行的路径:ZK 允许每条链按其自身规则进行证明,而不是要求所有链都采用统一标准。zkBridge 对 25 条以上链的支持证明了这种灵活性。目前的制约因素是工程时间——每种新的状态模型都需要定制化的 ZK 电路开发。

当前局限性:ZK 桥(ZK Bridges)仍无法实现的目标

技术正在飞速发展,但现实中的局限性依然存在。

证明延迟(Proving latency):尽管有了巨大的改进,最快的生产系统生成证明仍需数秒。完全同步的跨链调用(原子化多链 DeFi 所需)需要毫秒级的延迟。虽然每一代硬件都在缩小这一差距,但尚未完全消除。

证明者中心化(Prover centralization):大多数生产环境中的 ZK 桥仍依赖于小型、半信任的证明者集群。真正的去中心化证明者网络(如 Succinct Prover Network、Lagrange ZK Prover Network、RISC Zero 的 Boundless 市场)正处于积极开发中,但尚未经过大规模的实战检验。

电路升级复杂性(Circuit upgrade complexity):当源链更改其共识机制时,ZK 电路必须进行相应更新。管理不当的升级可能导致桥接处于不一致的状态。通过适当的版本管理这是可以控制的,但需要持续的工程投入。

小额交易的成本底线(Cost floor for small transactions):虽然 2025 年的单次证明成本下降了 45 倍(从 2025 年 1 月的平均每证明 1.69 美元降至 2025 年 12 月的 0.0376 美元),但对于极小额的跨链转账,证明开销仍占很大比例。经济模式更有利于大额转账和批处理(batching)。

证明者市场:如同 2003 年左右的云计算

ZK 桥基础设施中最有趣的结构性进展是证明市场的出现。生成 ZK 证明需要大量的计算——大多数桥接运营商无法或不应自行运行的专用 GPU 集群。

经济发展轨迹与我们熟悉的如出一辙:ZK 证明生成成本在两年内下降了约 100 倍,镜像了云计算成本的早期轨迹。专门的证明基础设施提供商(Succinct、RISC Zero、Lagrange、Nil Foundation)正在证明延迟、成本和硬件效率方面展开竞争。

EigenLayer 引入了新的变化:将再质押(restaked)的 ETH 作为证明者网络的抵押品。如果证明者生成了虚假证明(在正确的 ZK 系统中理论上是不可能的,但如果使用交互式证明或存在漏洞则具有相关性),其再质押的 ETH 将被罚没(slashed)。这在密码学安全之上增加了经济安全——为机构桥接用户提供了双重保险。

这对跨链技术栈意味着什么

从基于验证者(validator-based)到基于 ZK 的跨链基础设施的转变,其二阶效应远不止于“减少桥接黑客攻击”。

7 天的等待期即将结束。 乐观桥(Optimistic bridges)强制实施 7 天的提现延迟,以便提交欺诈证明。ZK 桥没有挑战期——一旦证明通过验证,结算即为最终结果。这为无法忍受乐观延迟的 DeFi 应用解锁了快速跨链的可组合性。

桥接安全性与团队声誉脱钩。 多签桥的安全性从根本上取决于谁掌握密钥。ZK 桥的安全性则取决于底层密码学系统是否正确。这让尽职调查的问题从“我们是否信任这个团队?”转向了“这个电路是否经过审计?”。

互操作性成为商品化的基础设施。 当任何链都可以通过分毫的 Gas 费和数秒的延迟被证明到另一条链上时,跨链将成为一项基础功能,而非增值服务。项目如 SP1 和 zkBridge 已经在将多链证明视为基础设施,而非产品差异化点。

比特币成为一等公民。 基于 UTXO 的 ZK 电路开发此前是一个小众研究领域。IBC Eureka 对比特币的集成,结合不断增长的、需要桥接回 EVM 的比特币 L2 生态系统,正在推动比特币状态证明(state proofs)的快速发展。价值超过 2600 亿美元的比特币生态系统与 DeFi 的连接正通过 ZK 桥实现。

未来之路

ZK 桥生态系统正处于一个有趣的阶段:基础技术已经可行,机构正在部署真实资本(仅 SP1 就保障了超过 40 亿美元的资产),且证明成本大幅下降。但是,以去中心化规模运行 ZK 桥的基础设施——分布式证明者网络、正式的电路验证、跨链标准——仍在建设中。

接下来的 18 个月可能会决定 ZK 桥是成为主流跨链架构,还是维持作为多种选择之一。值得关注的指标包括:去中心化证明者网络是否能匹配中心化集群的性能,比特币 UTXO 电路开发是否能跟上比特币 L2 的采用步伐,以及证明成本曲线是否继续剧烈下降。

如果 2025 年 45 倍的成本降幅在 2026 年重演,ZK 证明生成的成本将低于每证明 0.001 美元。在这个价格下,信任最小化的跨链基础设施将变得无处不在。人类委员会掌管数十亿美元桥接资产的这七年试验,可能终于要宣告结束了。

BlockEden.xyz 为 Ethereum、Sui、Aptos 以及 20 多个区块链网络提供高性能的 RPC 和 API 基础设施。对于正在构建需要跨多条链进行可靠节点访问的跨链应用程序的开发者,请 探索我们的 API 市场

Share on Twitter