信任桥的终结:零知识证明如何重写跨链安全
· 阅读需 16 分钟
想象一下将 6.25 亿美元现金交给九个陌生人,并寄希望于其中至少五个人永远不会勾结起来对付你。这正是 Ronin 桥(Ronin Bridge)的用户在 2022 年 3 月所做的事情——而拉撒路小组(Lazarus Group)在不到六个小时的时间里就证明了这是一个极其糟糕的主意。Ronin 遭受的攻击、Wormhole 损失 3.2 亿美元的漏洞利用,以及 Nomad 混乱的 1.9 亿美元“暴民式”资金抽干,都有一个共同的缺陷:它们都依赖于人类的诚实,而非数学。
零知识证明(Zero-knowledge proofs)正在改变跨链基础设施的基本信任模型。与其问“谁为这笔交易担保?”,ZK 桥会问“你能证明这笔交易是链 A 历史中有效的一部分吗?”——这是一个只有正确的密码学才能回答的问题。经过多年的理论研究,ZK 桥在 2024-2025 年达到了生产规模,保障了数十亿美元的资金安全,且证明成本在短短一年内下降了 45 倍。
43 亿美元的教训:重新思考跨链桥安全
跨链桥已成为 Web3 中被攻击最严重的表面。根据 DeFi Llama 的数据,在 2021 年 6 月至 2024 年 9 月期间,49 起跨链桥事件导致约 43 亿美元被盗,占该时期 Web3 所有被黑资产价值的约 40%。
攻击模式惊人地一致:
- Ronin 桥(2022 年 3 月):在攻击者控制了 9 个验证者密钥中的 5 个后,损失了 6.25 亿美元。其中 4 个密钥由 Sky Mavis 控制,1 个被临时授权,导致有效安全阈值降至仅 1/5。
- Wormhole(2022 年 2 月):通过智能合约漏洞损失了 3.2 亿美元。该漏洞伪造了多签签名,从而在 Solana 上铸造了 ETH,而实际并没有任何存款。
- Nomad 桥(2022 年 8 月):由于“可信根”初始化漏洞,允许任何人重放原始攻击者的消息负载,约 1.9 亿美元在四小时内被抽干。数百个投机账户加入了这场疯狂的掠夺。
- Orbit 桥(2024 年 1 月):在 10 个多签密钥中的 7 个被破解后,损失了 8170 万美元,这是 2024 年第一季度最大的黑客攻击案。
这些并非极端个案。它们是建立在社会信任基础上的跨链安全所产生的必然结果:你的安全性仅取决于验证者集中最不道德或安全性最低的参与者。